流動性が$215K 失われた後、攻撃者が報酬配布キーの両方を制御し、偽のMerkleルートを通じてトークンを流出させ、Tornado Cashにルーティングした。
報酬トークンはすでに消失していた。5月27日、Fluidの運用署名キーの両方を保持していた攻撃者が、Ethereum、Base、ArbitrumのプロトコルのMerkle配布者に偽の報酬リストを送信した。
EthereumベースのDeFiプロトコルであるFluidは、報酬配布に二段階のシステムを採用している:一つのキーがMerkleルートを提案し、もう一つのキーがそれを承認する。XのBlackHartIncが報告したように、これらの役割は一人の行為者によって保持されていた。二人のコントロールは、一人が両方のキーを持つと何の意味もなかった。
提案者のキーは、UTC 21:11:11に自己利益を優先したルートをFLUID配布者に提出した。12秒後、同じ攻撃者が承認者キーを使ってそれを承認した。最初の提案から24秒後、空のMerkle証明を使ってクレームが通った。
その空の証明はバグではなかった。単一エントリーの報酬リストは、その唯一の葉と等しいルートを生成するため、証明経路は不要である。コントラクトは正しく検証した。スマートコントラクトに何の破損もなかった。BlackHartによるフォレンジック分析によると、全ての失敗は運用キーの管理に起因していた。
同じ提案・承認・クレームのサイクルは、その後、UTC 21:13:59にGHO配布者に対して行われ、数時間後には小さなcbBTC量のために第三の配布者にも行われた。三つのチェーンにわたり、攻撃者は約125,109 FLUIDと51,946 GHO、そして追跡可能なcbBTCを持ち去った。
Fluidのレンディング市場、ボールト、DEXの流動性はこれらのキーの範囲外だった。流出したコントラクトは報酬配布者のみだった。Xの0xfluidは、コアプロトコルのスマートコントラクトは影響を受けず、ユーザ資金も事件のリスクにさらされていないと確認した。
盗まれたFLUIDとGHOは、MetaMaskのスワップルーターを通じて約103イーサに交換された。約142.6 ETHはTornado Cashに入り、リレーワレットを経由したり直接預金されたりした。BaseとArbitrumのL2の収益は、ミキシング前にEthereumにブリッジされた。
Fluidからの数日間の大規模な引き出し(約7000万ドルから1億1000万ドルの範囲)は二次的な攻撃ではなかった。それは預金者が自己資金を引き出したものであり、信頼に基づく銀行引き出しだった。盗難自体とは無関係だが、公開タイミングとはやや関係があった。
最初の盗難から約10時間後の5月28日07:05 UTC、Fluidチームは一括トランザクションで、危険にさらされた提案者と承認者の役割を10の報酬配布者から削除した。残っていた約314,000 FLUIDと7,400 USDCの報酬残高は安全なアドレスに移された。
チームの公開コミュニケーションは、報酬請求の一時停止のみを記述し、キーの危殆化については触れなかった。損失についても言及しなかった。攻撃は5月31日に公に明らかになり、その4日前の5月28日からすでに一つのレンダーが7700万ドルのUSDCを引き出していた。
Merklの共同創設者Pablo Veyratは、X上でこの事件について言及した。自身のプロトコルの設計選択について語り、VeyratはXで、Merklは完全に別のインフラ上で3つの独立した紛争ボットを運用しており、それぞれが新しいMerkleツリーを検証し、ルートが有効になる前に少なくとも1時間の遅延を設けていると述べた。
この攻撃は、提案からクレームまでわずか24秒未満で完了した。その速度は、ルート承認と支払いの間に遅延がなかったためだけに可能だった。管理キーの悪用は今年何度もDeFiを襲っており、そのパターンは同じギャップに戻っている:特権キーとアクセス・行動の間に摩擦がない。
BlackHartの評価は、Fluidの事前ハック評価において、運用セキュリティを最も弱い点と指摘した。正確な失敗モードは、独立した管理者や待機期間なしに支払いに変えられる二つのキーだったが、これはすでにスコアが警告していた内容だった。運用キーの危殆化は2026年には新しいことではないが、Fluidのケースは特定のひねりを加えている:二キー設計は、一人が保持している間は安全策のように見えた。
攻撃者のウォレット、0x4925120c…1d3dfbは、ほぼ同じ時間内に複数のチェーンでクレームを行った。一つのサイクルでリリースできる速度制限はなかった。異常な活動をリアルタイムで検知するアラートもなかった。
23.97M 人気度
1.27M 人気度
52.31K 人気度
2.87M 人気度
484.41K 人気度
$215K Fluidから盗まれた:攻撃者がMerkle報酬システムの両方の鍵を制御
流動性が$215K 失われた後、攻撃者が報酬配布キーの両方を制御し、偽のMerkleルートを通じてトークンを流出させ、Tornado Cashにルーティングした。
報酬トークンはすでに消失していた。5月27日、Fluidの運用署名キーの両方を保持していた攻撃者が、Ethereum、Base、ArbitrumのプロトコルのMerkle配布者に偽の報酬リストを送信した。
EthereumベースのDeFiプロトコルであるFluidは、報酬配布に二段階のシステムを採用している:一つのキーがMerkleルートを提案し、もう一つのキーがそれを承認する。XのBlackHartIncが報告したように、これらの役割は一人の行為者によって保持されていた。二人のコントロールは、一人が両方のキーを持つと何の意味もなかった。
一人、二つのキー、抵抗ゼロ
提案者のキーは、UTC 21:11:11に自己利益を優先したルートをFLUID配布者に提出した。12秒後、同じ攻撃者が承認者キーを使ってそれを承認した。最初の提案から24秒後、空のMerkle証明を使ってクレームが通った。
その空の証明はバグではなかった。単一エントリーの報酬リストは、その唯一の葉と等しいルートを生成するため、証明経路は不要である。コントラクトは正しく検証した。スマートコントラクトに何の破損もなかった。BlackHartによるフォレンジック分析によると、全ての失敗は運用キーの管理に起因していた。
同じ提案・承認・クレームのサイクルは、その後、UTC 21:13:59にGHO配布者に対して行われ、数時間後には小さなcbBTC量のために第三の配布者にも行われた。三つのチェーンにわたり、攻撃者は約125,109 FLUIDと51,946 GHO、そして追跡可能なcbBTCを持ち去った。
実際にプロトコルから流出したものとそうでないもの
Fluidのレンディング市場、ボールト、DEXの流動性はこれらのキーの範囲外だった。流出したコントラクトは報酬配布者のみだった。Xの0xfluidは、コアプロトコルのスマートコントラクトは影響を受けず、ユーザ資金も事件のリスクにさらされていないと確認した。
盗まれたFLUIDとGHOは、MetaMaskのスワップルーターを通じて約103イーサに交換された。約142.6 ETHはTornado Cashに入り、リレーワレットを経由したり直接預金されたりした。BaseとArbitrumのL2の収益は、ミキシング前にEthereumにブリッジされた。
Fluidからの数日間の大規模な引き出し(約7000万ドルから1億1000万ドルの範囲)は二次的な攻撃ではなかった。それは預金者が自己資金を引き出したものであり、信頼に基づく銀行引き出しだった。盗難自体とは無関係だが、公開タイミングとはやや関係があった。
クリーンアップと、言及されなかったこと
最初の盗難から約10時間後の5月28日07:05 UTC、Fluidチームは一括トランザクションで、危険にさらされた提案者と承認者の役割を10の報酬配布者から削除した。残っていた約314,000 FLUIDと7,400 USDCの報酬残高は安全なアドレスに移された。
チームの公開コミュニケーションは、報酬請求の一時停止のみを記述し、キーの危殆化については触れなかった。損失についても言及しなかった。攻撃は5月31日に公に明らかになり、その4日前の5月28日からすでに一つのレンダーが7700万ドルのUSDCを引き出していた。
Merklの共同創設者Pablo Veyratは、X上でこの事件について言及した。自身のプロトコルの設計選択について語り、VeyratはXで、Merklは完全に別のインフラ上で3つの独立した紛争ボットを運用しており、それぞれが新しいMerkleツリーを検証し、ルートが有効になる前に少なくとも1時間の遅延を設けていると述べた。
なぜタイムロックがここで全てを変えるのか
この攻撃は、提案からクレームまでわずか24秒未満で完了した。その速度は、ルート承認と支払いの間に遅延がなかったためだけに可能だった。管理キーの悪用は今年何度もDeFiを襲っており、そのパターンは同じギャップに戻っている:特権キーとアクセス・行動の間に摩擦がない。
BlackHartの評価は、Fluidの事前ハック評価において、運用セキュリティを最も弱い点と指摘した。正確な失敗モードは、独立した管理者や待機期間なしに支払いに変えられる二つのキーだったが、これはすでにスコアが警告していた内容だった。運用キーの危殆化は2026年には新しいことではないが、Fluidのケースは特定のひねりを加えている:二キー設計は、一人が保持している間は安全策のように見えた。
攻撃者のウォレット、0x4925120c…1d3dfbは、ほぼ同じ時間内に複数のチェーンでクレームを行った。一つのサイクルでリリースできる速度制限はなかった。異常な活動をリアルタイムで検知するアラートもなかった。