Fluid奖励发放机制被攻破致约21.5万美元损失

6月1日，DeFi领域又曝出一桩安全事故——Fluid项目在以太坊上的奖励发放机制被攻破，大约21.5万美元的资产被卷走。事件本身不算惊天动地，但背后的漏洞逻辑和团队的应对方式，倒值得仔细看看。

先说说这个机制的运作方式：Fluid采用的是Merkle奖励名单机制，需要两把运营私钥配合——一把负责发起奖励名单，另一把负责批准。按理说，双重认证能防住单点失守，但问题出在，攻击者竟然同时掌握了两把私钥。他提交了一份只给自己发放奖励的名单，并亲自批准，然后用空证明就顺利领走了资金。简单说，就是自己签发起、自己签通过，整个流程形同虚设。

被盗资产来自三个奖励分发器，具体包括112,883枚FLUID、47,903枚GHO和少量cbBTC。随后这些代币被迅速兑换成ETH，并通过Tornado Cash转移，追回难度不小。不过，值得庆幸的是，Fluid的借贷市场、金库、DEX以及用户存款均未受影响，核心业务毫发无伤。

团队的反应速度还算可以——大约10小时内就更换了受损密钥，并将剩余奖励资金转移到安全地址。但耐人寻味的是，团队的公开说明只字未提私钥泄露和具体损失金额，仅笼统地说“奖励领取暂停更新”。这种信息不对称的处理方式，在市场敏感时期难免让社区多几分猜疑。