- Главная
- /
- Безопасность
- /
- Уязвимость в DeFi: более $520,000 выведены из роутеров 1inch из-за проблем с безопасностью смарт-контрактов
Уязвимость в DeFi: более $520,000 выведены из роутеров 1inch из-за проблем с безопасностью смарт-контрактов
22
Компания Carbontec раскрыла путь эксплуатации на сумму более $520,000 в функции спасения роутера 1inch. Исследование показало, что более $520,000 неправильно отправленных токенов были тихо выведены из роутеров 1inch v4–v6 через публичные функции, что выявило слабое место в безопасности одного из наиболее распространенных контрактов в DeFi.
На уязвимость в дизайне смарт-контракта роутера Aggregation Router v6 указывает компания по обеспечению безопасности блокчейнов Carbontec. Этот ключевой DeFi-протокол осуществляет обмен токенов для миллионов пользователей. Проблема в том, что любой мог вывести токены, ошибочно отправленные на контракт, а не только владелец контракта.
Согласно эксклюзивной информации, предоставленной Bitcoin.com News, более $520,000 в криптовалюте, в том числе 4.2 WBTC (примерно $445K) в одной транзакции, были перемещены неаффилированными лицами через версии роутеров 4, 5 и 6. Уязвимость заключается в публично доступных обратных функциях и логике роутера, который принимает пользовательские пуллы обмена. Эти функции позволяют проводить мошеннические транзакции, эффективно отмывающие вывод средств под предлогом рутинного использования протокола.
Вместо того чтобы быть заблокированными или доступными только для 1inch, неправильно отправленные токены стали объектом охоты для всех, кто обладает техническими знаниями. Это не ошибка кода, а компромисс в дизайне, который недооценил поведения пользователей и переоценил безопасность контракта благодаря неясности.
Мирослав Барил, технический директор Carbontec, поделился некоторыми мыслями из расследования компании.
«Это не просто проблема 1inch; это системная уязвимость, которая может присутствовать и в других DeFi-протоколах. Предположение, что неправильно отправленные токены либо не подлежат возврату, либо могут быть возвращены только владельцами контрактов, создает ложное чувство безопасности. Реальные риски часто возникают не только из-за багов в коде, но и из-за паттернов дизайна. Критические аспекты структурного дизайна протокола должны быть сбалансированы с безопасностью и предотвращением неправомерного использования».
Исследования Carbontec показывают, что эта проблема затрагивает не только 1inch, но потенциально любой DeFi-протокол, который принимает внешние контракты или открывает внутренние обратные вызовы обмена. С сотнями тысяч долларов от пользователей, незаметно изымавшихся, расследование поднимает настоятельные вопросы о том, как DeFi-протоколы обрабатывают ошибки и кто на самом деле имеет доступ к средствам пользователей.
«Хакеры теряют 13 млн долларов на панической продаже криптовалюты во время рыночного хаоса»
Хакеры потеряли более 13,4 миллиона долларов, панически продавая ETH в условиях рыночного хаоса. Их действия показывают, что даже опытные злоумышленники могут терпеть убытки. 💸🔍
Пенсионный терапевт из Коннектикута потерял все сбережения в крипто мошенничестве: разоблачение схемы «свинопас»
Пенсионный терапевт из Коннектикута потерял все сбережения, став жертвой крипто мошенничества. ФБР расследует случаи схем «свинопас», пока мошенничество нарастает. 🚨💸
Шутка с ИИ о бездомных пугает американцев и вызывает ложные тревоги в полиции
Полиция предупреждает о вирусной шутке в TikTok с ИИ-изображениями бездомных, вызывающей панику и ложные вызовы 911. Это перегружает экстренные службы и может быть опасно. 🚨😱📞
США получили доступ к 120,000 BTC, угадав приватные ключи из-за уязвимости генератора случайных чисел
США получили доступ к 120,000 биткойнов, угадав приватные ключи из-за уязвимости в генерации ключей. Ошибка затронула более 220,000 адресов. 🔑💰🔍 #Криптовалюты