流动性奖励机制漏洞揭示关键控制缺失致21.5万美元被盗_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

流动性奖励机制漏洞揭示关键控制缺失致21.5万美元被盗

2026-06-01 14:02:31

影响Fluid链下默克尔奖励分发机制的漏洞事件

近期DeFi领域备受关注的借贷与去中心化交易所系统内部暴露出一个细微却严重的控制缺陷。根据早期链上追踪数据，以太坊上损失约21.5万美元。该事件未波及Fluid的借贷市场、金库、交易所、流动性层及用户存款，核心协议合约保持完好，受损环节仅限奖励分发系统，与主要借贷及交易功能无关。

这一区别保障了用户资金安全，但事件仍具危害性。此次攻击表明，当特权操作密钥未充分隔离时，非核心奖励机制仍可能引发直接资产损失。

奖励资金流失过程解析

本次攻击并非典型智能合约漏洞。独立链上追踪显示，问题源自默克尔奖励流程中的控制路径失效。Fluid奖励机制原设计采用双密钥审核：一把密钥提议奖励名单，另一把密钥进行批准。这种双步骤流程本意在于防止单个密钥被窃导致的恶意分发。然而攻击者同时掌控了两把密钥。

攻击者首先提交仅包含自身钱包的奖励名单，随后通过第二把密钥予以批准，最终使用空证明默克尔申领机制获取奖励。当两把操作密钥同受一人控制时，双人审核模式便失去保护意义。

初步追踪显示，资金流失涉及三个奖励分发合约，包含约112,883枚FLUID、47,903枚GHO及少量cbBTC。更广泛的公开统计显示资产流动规模接近125,000枚FLUID与51,900枚GHO。这些资产最终被兑换为以太坊并经混币协议转移。

核心市场未受波及但披露过程引关注

Fluid构建于融合借贷、金库、流动性层及交易所的复合型DeFi架构之上。其技术文档显示，流动性层支撑着借贷与金库等协议，而交易所架构则构建于同一流动性层之上。这些核心组件在此次事件中均未受影响。

事件被控制在奖励申领基础设施范围内，项目方已撤销受损密钥权限并转移剩余奖励资金。在系统升级期间默克尔奖励申领功能暂停，但奖励仍将持续累积直至功能恢复。

更值得关注的是事件披露方式。项目方初期公告侧重强调功能暂停与基础设施升级，而密钥失窃细节及损失规模主要通过独立链上分析得以明晰。对于用户而言，信息披露的滞后性可能引发关于资格认定、余额状态及应对措施的疑虑，其影响程度不亚于事件本身规模。

DeFi操作密钥问题持续蔓延

Fluid事件反映出DeFi领域的普遍困境：用户直接交互的智能合约往往完好无损，而管理路径、签名系统、跨链桥、权限设置等支持性基础设施却成为安全短板。近期某跨链桥疑似密钥泄露导致约540万美元资产流失，另有多起类似事件均指向资产授权系统而非资金托管合约本身。

尽管Fluid损失规模相对较小，但揭示的问题同样深刻。即使协议能保障用户存款安全，特权基础设施若被用于转移奖励资金，仍将造成声誉损害。奖励系统常处于核心安全边界之外，但用户通常将其视作产品有机组成部分。

此次事件中，双角色奖励控制设计在密钥同遭掌控时彻底失效。按DeFi攻击标准衡量，21.5万美元损失虽不显著，但其路径值得深思：攻击者完成奖励名单篡改、批准、申领及资金转移全过程后，用户才获得完整事件说明。这使得事后分析报告的价值远超出单纯金额数字所能体现。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文