Das DeFi-Projekt Fluid auf Ethereum erlitt eine Sicherheitsverletzung, bei der etwa 215.000 US-Dollar gestohlen wurden. Der Angriff richtete sich gegen den Belohnungsverteilungsmechanismus von Fluid, der eine Merkle-Belohnungsliste verwendet, für deren Betrieb zwei private Schlüssel erforderlich sind. Dem Angreifer gelang es, beide Schlüssel zu erlangen, wodurch er eine Belohnungsliste einreichen und genehmigen konnte, die die Gelder ausschließlich auf sich selbst lenkte. Die gestohlenen Vermögenswerte umfassten 112.883 FLUID, 47.903 GHO und eine kleine Menge cbBTC, die in ETH umgewandelt und über Tornado Cash gewaschen wurden. Die Kernsysteme von Fluid, einschließlich des Kreditmarkts, des Tresors, der DEX und der Nutzereinlagen, blieben sicher. Das Team reagierte, indem es den kompromittierten Schlüssel ersetzte und die verbleibenden Mittel innerhalb von 10 Stunden sicherte. Ihre öffentliche Stellungnahme erwähnte jedoch nur eine vorübergehende Aussetzung der Belohnungsansprüche und ließ Details über die Schlüsselkompromittierung und den finanziellen Verlust aus.