DeFi 风险情报平台 BlackHart 披露，去中心化金融协议 Fluid 在本周早些时候遭遇安全事件，其基于以太坊的奖励分发系统因操作密钥失窃而损失约 215,000 美元。此次攻击并非源于底层智能合约的代码缺陷，而是攻击者成功窃取了用于生成和批准奖励列表的两把关键操作密钥。午方 AI 梳理发现，攻击者利用这些权限注册并批准了一项恶意奖励方案，进而将系统中所有的奖励资金转移至其控制的账户中。Fluid 官方确认，此次安全漏洞严格局限于奖励分发模块，其核心的借贷市场、保险库、去中心化交易所以及用户存款均未受到波及。

被盗资产的具体构成包括 112,883 枚 FLUID 代币、47,903 枚 GHO 以及少量 cbBTC。得手后，攻击者迅速将这些资产兑换为以太坊，随后通过 Tornado Cash 这一常用于掩盖交易痕迹的隐私混币工具转移了所得资金。Fluid 方面表示，目前已紧急更换了被窃取的操作密钥，并将剩余的奖励资金转移至安全账户中，强调核心协议功能依然正常运行。午方 AI 注意到，这一事件深刻揭示了去中心化金融领域一个长期被忽视的结构性弱点：链下操作基础设施的安全性往往成为防御体系的短板。

尽管智能合约审计已成为行业标配，但 Fluid 的案例表明，密钥管理同样是决定系统安全的关键变量。一旦管理密钥落入攻击者手中，即便代码经过了最严格的审计，系统依然面临被攻破的风险。对于用户而言，这一事件进一步印证了采用多签名机制、时间锁机制以及去中心化密钥管理方式在降低系统整体风险方面的重要性。

此外，攻击者利用 Tornado Cash 清洗被盗资金的行为，再次引发了监管层面对隐私工具的关注，尤其是在 2022 年美国对该平台实施制裁之后，此类工具的合规性争议愈发激烈。

此次事件可能会促使行业进一步探讨去中心化金融协议如何在保持透明度的同时确保操作安全。Fluid 遭遇的攻击提醒市场，DeFi 的安全保障工作绝不仅仅局限于智能合约审计。随着行业的不断演进，完善的密钥管理机制和操作安全措施将成为维护用户信任、防止类似漏洞发生的核心要素。午方 AI 分析认为，Fluid 虽然已立即采取补救措施，但这一事件也标志着一个明显的趋势转变：越来越多的攻击目标正从代码漏洞转向操作基础设施，这对整个生态的安全架构提出了新的挑战。