유동성 보상 계약이 해킹되어 약 21.5만 달러 손실 발생

BlackHart에 따르면, DeFi 프로젝트 Fluid의 이더리움에서의 보상 지급 메커니즘이 악용되어 약 21.5만 달러의 자산이 전송되었습니다. Fluid는 한 개의 키로 시작하고 다른 키로 승인하는 Merkle 보상 목록 메커니즘을 채택하고 있으며, 공격자는 두 개의 운영 개인 키를 모두 장악하여 자신에게만 보상을 지급하는 목록을 제출하고 승인한 후, 빈 증명을 사용하여 수령을 완료했습니다.

도난당한 자산은 세 개의 보상 배포기에서 나왔으며, 여기에는 112,883개의 FLUID, 47,903개의 GHO 및 소량의 cbBTC가 포함되어 있으며, 이후 ETH로 교환되어 Tornado Cash를 통해 전송되었습니다. Fluid의 대출 시장, 금고, DEX 및 사용자 예금은 영향을 받지 않았으며, 팀은 약 10시간 내에 손상된 키를 교체하고 남은 보상 자금을 전송했지만, 공개된 설명에서는 보상 수령이 일시 중지되었다고만 언급하고 개인 키 유출 및 손실 세부 사항에 대해서는 언급하지 않았습니다.