- Головна
- /
- Безпека
- /
- Вразливість маршрутизатора 1inch: як втрата понад $520,000 виявила сліпі місця в DeFi протоколах
Вразливість маршрутизатора 1inch: як втрата понад $520,000 виявила сліпі місця в DeFi протоколах
14
Компанія Carbontec виявила шлях експлуатації на суму понад$520,000 у функції порятунку маршрутизатора 1inch. Дослідження показало, що більше$520,000 неправильно надісланих токенів було тихо виведено з версій маршрутизаторів1inch v4–v6 через публічні функції, виявивши сліпе місце в безпеці одного з найпоширеніших контрактів у світі децентралізованих фінансів (DeFi).
Недолік дизайну в маршрутизаторі 1inch дозволив виведення неправильно надісланих коштів.
Блокчейн-безпечна компанія Carbontec виявила значну вразливість в дизайні смарт-контракту маршрутизатора 1inch Aggregation Router v6, ключового протоколу DeFi, який полегшує обмін токенів для мільйонів користувачів. Проблема полягає в тому, що будь-хто міг виводити токени, надіслані помилково, а не лише власник.
Згідно з ексклюзивною інформацією, наданою Bitcoin.com News, з маршрутизаторів 4, 5 та 6 було переміщено криптовалюту на суму понад$520,000, включаючи4.2 WBTC (приблизно$445K) в одній угоді, з боку неафілійованих осіб. Вадою є публічно доступні колбек-функції і логіка маршрутизатора, яка приймає обмінні пулі, визначені користувачем. Це дозволяє здійснювати спуфінг-транзакції, які ефективно відмивають виведення коштів під виглядом звичайного використання протоколу.
Натомість, щоб токени були заблоковані або відновлювані лише 1inch, помилково надіслані токени стали доступними для будь-кого, хто має технічні знання. Це не помилка коду, а компроміс у дизайні, який недооцінив поведінку користувачів і переоцінив безпеку контракту через його невідомість.
Мірослав Баріл, технічний директор компанії Carbontec, поділився деякими думками з приводу дослідження компанії:
«Це не лише проблема 1inch; це системне сліпе місце, яке може бути присутнім і в інших протоколах DeFi. Припущення, що неправильно надіслані токени є або невідновлюваними, або відновлюваними лише власниками контрактів, створює хибне відчуття безпеки. Реальні ризики часто виникають не лише з помилок у коді, але й з шаблонів дизайну. Критичні аспекти структурного дизайну протоколу повинні бути збалансовані з безпекою та профілактикою зловживань.»
Дослідження Carbontec показує, що ця проблема впливає не лише на 1inch, але й потенційно на будь-який протокол DeFi, який приймає зовнішній вхід контракту або відкриває внутрішні колбеки обміну. Оскільки сотні тисяч коштів користувачів були тихо вкрадені, це дослідження піднімає нагальні питання про те, як протоколи DeFi обробляють помилки і хто насправді має доступ до коштів користувачів.
Санкції США проти кібер-шахрайства в Південно-Східній Азії: знищення злочинних мереж на мільярди доларів
Міністерство фінансів США наклало санкції на 19 підприємств у Південно-Східній Азії через кібер-шахрайство, що обійшлося американцям у 10 млрд доларів. Злочинці використовують криптовалюти для своїх схем. 💰🚫🔍✨
Криптобіржа SwissBorg втратила 41,5 мільйона доларів через скомпрометований API: подробиці інциденту та план відновлення.
Криптобіржа SwissBorg повідомила про крадіжку 192,600 SOL через скомпрометований API. Постраждало<1% користувачів. SwissBorg компенсує втрати і обіцяє звіт після розслідування. 🔒💰🚫
Криптоінвесторам радять зупинити транзакції через загрозу крадіжки коштів від шкідливих пакетів JavaScript
Криптосвіт у небезпеці: через скомпрометовані пакети JavaScript, користувачі можуть втратити кошти. Розробники закликають зупинити транзакції! 🚨💰🛑
Злом DeFi платформи Nemo Protocol: втрачено 2,4 мільйона доларів
DeFi платформа Nemo Protocol зазнала атаки на 2,4 млн доларів. Команда призупинила смарт-контракти та розслідує інцидент. Спільнота стурбована відсутністю інформації. 💔🔍💰