- Головна
- /
- Безпека
- /
- Вразливість маршрутизатора 1inch: як втрата понад $520,000 виявила сліпі місця в DeFi протоколах
Вразливість маршрутизатора 1inch: як втрата понад $520,000 виявила сліпі місця в DeFi протоколах
22
Компанія Carbontec виявила шлях експлуатації на суму понад$520,000 у функції порятунку маршрутизатора 1inch. Дослідження показало, що більше$520,000 неправильно надісланих токенів було тихо виведено з версій маршрутизаторів1inch v4–v6 через публічні функції, виявивши сліпе місце в безпеці одного з найпоширеніших контрактів у світі децентралізованих фінансів (DeFi).
Недолік дизайну в маршрутизаторі 1inch дозволив виведення неправильно надісланих коштів.
Блокчейн-безпечна компанія Carbontec виявила значну вразливість в дизайні смарт-контракту маршрутизатора 1inch Aggregation Router v6, ключового протоколу DeFi, який полегшує обмін токенів для мільйонів користувачів. Проблема полягає в тому, що будь-хто міг виводити токени, надіслані помилково, а не лише власник.
Згідно з ексклюзивною інформацією, наданою Bitcoin.com News, з маршрутизаторів 4, 5 та 6 було переміщено криптовалюту на суму понад$520,000, включаючи4.2 WBTC (приблизно$445K) в одній угоді, з боку неафілійованих осіб. Вадою є публічно доступні колбек-функції і логіка маршрутизатора, яка приймає обмінні пулі, визначені користувачем. Це дозволяє здійснювати спуфінг-транзакції, які ефективно відмивають виведення коштів під виглядом звичайного використання протоколу.
Натомість, щоб токени були заблоковані або відновлювані лише 1inch, помилково надіслані токени стали доступними для будь-кого, хто має технічні знання. Це не помилка коду, а компроміс у дизайні, який недооцінив поведінку користувачів і переоцінив безпеку контракту через його невідомість.
Мірослав Баріл, технічний директор компанії Carbontec, поділився деякими думками з приводу дослідження компанії:
«Це не лише проблема 1inch; це системне сліпе місце, яке може бути присутнім і в інших протоколах DeFi. Припущення, що неправильно надіслані токени є або невідновлюваними, або відновлюваними лише власниками контрактів, створює хибне відчуття безпеки. Реальні ризики часто виникають не лише з помилок у коді, але й з шаблонів дизайну. Критичні аспекти структурного дизайну протоколу повинні бути збалансовані з безпекою та профілактикою зловживань.»
Дослідження Carbontec показує, що ця проблема впливає не лише на 1inch, але й потенційно на будь-який протокол DeFi, який приймає зовнішній вхід контракту або відкриває внутрішні колбеки обміну. Оскільки сотні тисяч коштів користувачів були тихо вкрадені, це дослідження піднімає нагальні питання про те, як протоколи DeFi обробляють помилки і хто насправді має доступ до коштів користувачів.
Хакери втратили 13 мільйонів доларів через панічні продажі під час ринкових коливань
Хакери втратили 13,4 мільйона доларів через панічний продаж ETH під час ринкового спаду. Після невдалих спроб відновлення, їх стратегія вражає своєю емоційністю. 💰🔍😱
Пенсіонер втратив всі свої заощадження через криптомошенництво: жахливі наслідки шахрайських схем на прикладі історії з Коннектикуту
Пенсіонер із Коннектикуту втратив всі заощадження через криптомошенництво, ставши жертвою шахрайської платформи ZAP Solutions. Це підкреслює небезпеки цифрових інвестицій 💰⚠️. ФБР розслідує зростаючі випадки шахрайств.
Розіграш з AI: небезпечний жарт про безхатнього чоловіка провокує паніку та дзвінки на 911 в США
Поліція попереджає про небезпечний TikTok-розіграш з AI-зображеннями безхатнього чоловіка, який викликає паніку та займе екстрені ресурси. 📞🚔😱
США отримали 120,000 біткоїнів через виявлену вразливість у генерації приватних ключів
США виявили ключі до 120,000 BTC завдяки уразливості у генератора випадкових чисел, не конфіскувавши їх. Багато транзакцій мали фіксовану плату, що підкреслює підозрілість ситуації. 🔑💰🚨