- Головна
- /
- Безпека
- /
- Вразливість маршрутизатора 1inch: як втрата понад $520,000 виявила сліпі місця в DeFi протоколах
Вразливість маршрутизатора 1inch: як втрата понад $520,000 виявила сліпі місця в DeFi протоколах
8
Компанія Carbontec виявила шлях експлуатації на суму понад$520,000 у функції порятунку маршрутизатора 1inch. Дослідження показало, що більше$520,000 неправильно надісланих токенів було тихо виведено з версій маршрутизаторів1inch v4–v6 через публічні функції, виявивши сліпе місце в безпеці одного з найпоширеніших контрактів у світі децентралізованих фінансів (DeFi).
Недолік дизайну в маршрутизаторі 1inch дозволив виведення неправильно надісланих коштів.
Блокчейн-безпечна компанія Carbontec виявила значну вразливість в дизайні смарт-контракту маршрутизатора 1inch Aggregation Router v6, ключового протоколу DeFi, який полегшує обмін токенів для мільйонів користувачів. Проблема полягає в тому, що будь-хто міг виводити токени, надіслані помилково, а не лише власник.
Згідно з ексклюзивною інформацією, наданою Bitcoin.com News, з маршрутизаторів 4, 5 та 6 було переміщено криптовалюту на суму понад$520,000, включаючи4.2 WBTC (приблизно$445K) в одній угоді, з боку неафілійованих осіб. Вадою є публічно доступні колбек-функції і логіка маршрутизатора, яка приймає обмінні пулі, визначені користувачем. Це дозволяє здійснювати спуфінг-транзакції, які ефективно відмивають виведення коштів під виглядом звичайного використання протоколу.
Натомість, щоб токени були заблоковані або відновлювані лише 1inch, помилково надіслані токени стали доступними для будь-кого, хто має технічні знання. Це не помилка коду, а компроміс у дизайні, який недооцінив поведінку користувачів і переоцінив безпеку контракту через його невідомість.
Мірослав Баріл, технічний директор компанії Carbontec, поділився деякими думками з приводу дослідження компанії:
«Це не лише проблема 1inch; це системне сліпе місце, яке може бути присутнім і в інших протоколах DeFi. Припущення, що неправильно надіслані токени є або невідновлюваними, або відновлюваними лише власниками контрактів, створює хибне відчуття безпеки. Реальні ризики часто виникають не лише з помилок у коді, але й з шаблонів дизайну. Критичні аспекти структурного дизайну протоколу повинні бути збалансовані з безпекою та профілактикою зловживань.»
Дослідження Carbontec показує, що ця проблема впливає не лише на 1inch, але й потенційно на будь-який протокол DeFi, який приймає зовнішній вхід контракту або відкриває внутрішні колбеки обміну. Оскільки сотні тисяч коштів користувачів були тихо вкрадені, це дослідження піднімає нагальні питання про те, як протоколи DeFi обробляють помилки і хто насправді має доступ до коштів користувачів.
Аризонська інфлюенсерка отримала 8,5 років за шахрайство на користь Північної Кореї через IT-роботи в США
ТікТок-інфлюенсерка Христина Чапмен отримала 8,5 років за шахрайство на користь Північної Кореї. Вона допомагала отримувати IT-роботи в США, відмиваючи мільйони доларів. 💻💰🚨
Судова справа Романа Шторма: Чи може програмування бути злочином, та захист прав приватності в криптовалютному світі?
У суді триває справа Романа Шторма, розробника Tornado Cash. Захист стверджує, що протокол — інструмент приватності, а не злочину. Суть обвинувачення — змова на відмивання грошей. 🏛️⚖️🤑
Чоловіків звинуватили в катуванні інвестора Bitcoin - суд дозволив заставу у 1 мільйон доларів кожному
Двоє підозрюваних у катуванні інвестора Bitcoin вийшли під заставу. Зростає загроза насильства у крипто-сфері. Експерти радять заходи безпеки для захисту активів 🔒💰🚨.
Активність у гаманці Кріса Ларсена: перекази 50 мільйонів XRP та їх можливий вплив на ціну
Кріс Ларсен перевів 50 мільйонів XRP (175 млн $) на різні адреси, викликавши припущення про можливий продаж. Ці великі транзакції можуть вплинути на ціну XRP. 📈🔄💰👀