Fluid奖励发放机制被攻破致约21.5万美元损失

6月1日，据BlackHart称，DeFi项目Fluid在以太坊上的奖励发放机制遭利用，���21.5万美元资产被转走。Fluid采用由一把钥匙发起、另一把钥匙批准的Merkle奖励名单机制，攻击者同时掌握两把运营私钥，提交仅向自身发放奖励的名单并批准，随后用空证明完成领取。被盗资产来自三个奖励分发器，包括112,883枚FLUID、47,903枚GHO和少量cbBTC，后被兑换为ETH并通过Tornado Cash转移。Fluid借贷市场、金库、DEX及用户存款未受影响，团队在约10小时内更换受损密钥并转移剩余奖励资金，但公开说明仅称奖励领取暂停更新，未提及私钥泄露与损失细节。