- Главная
- /
- Безопасность
- /
- Уязвимость в DeFi: более $520,000 выведены из роутеров 1inch из-за проблем с безопасностью смарт-контрактов
Уязвимость в DeFi: более $520,000 выведены из роутеров 1inch из-за проблем с безопасностью смарт-контрактов
14
Компания Carbontec раскрыла путь эксплуатации на сумму более $520,000 в функции спасения роутера 1inch. Исследование показало, что более $520,000 неправильно отправленных токенов были тихо выведены из роутеров 1inch v4–v6 через публичные функции, что выявило слабое место в безопасности одного из наиболее распространенных контрактов в DeFi.
На уязвимость в дизайне смарт-контракта роутера Aggregation Router v6 указывает компания по обеспечению безопасности блокчейнов Carbontec. Этот ключевой DeFi-протокол осуществляет обмен токенов для миллионов пользователей. Проблема в том, что любой мог вывести токены, ошибочно отправленные на контракт, а не только владелец контракта.
Согласно эксклюзивной информации, предоставленной Bitcoin.com News, более $520,000 в криптовалюте, в том числе 4.2 WBTC (примерно $445K) в одной транзакции, были перемещены неаффилированными лицами через версии роутеров 4, 5 и 6. Уязвимость заключается в публично доступных обратных функциях и логике роутера, который принимает пользовательские пуллы обмена. Эти функции позволяют проводить мошеннические транзакции, эффективно отмывающие вывод средств под предлогом рутинного использования протокола.
Вместо того чтобы быть заблокированными или доступными только для 1inch, неправильно отправленные токены стали объектом охоты для всех, кто обладает техническими знаниями. Это не ошибка кода, а компромисс в дизайне, который недооценил поведения пользователей и переоценил безопасность контракта благодаря неясности.
Мирослав Барил, технический директор Carbontec, поделился некоторыми мыслями из расследования компании.
«Это не просто проблема 1inch; это системная уязвимость, которая может присутствовать и в других DeFi-протоколах. Предположение, что неправильно отправленные токены либо не подлежат возврату, либо могут быть возвращены только владельцами контрактов, создает ложное чувство безопасности. Реальные риски часто возникают не только из-за багов в коде, но и из-за паттернов дизайна. Критические аспекты структурного дизайна протокола должны быть сбалансированы с безопасностью и предотвращением неправомерного использования».
Исследования Carbontec показывают, что эта проблема затрагивает не только 1inch, но потенциально любой DeFi-протокол, который принимает внешние контракты или открывает внутренние обратные вызовы обмена. С сотнями тысяч долларов от пользователей, незаметно изымавшихся, расследование поднимает настоятельные вопросы о том, как DeFi-протоколы обрабатывают ошибки и кто на самом деле имеет доступ к средствам пользователей.
США накладывают санкции на 19 компаний в Юго-Восточной Азии для борьбы с кибермошенничеством на $10 миллиардов
США ввели санкции против 19 компаний Юго-Восточной Азии, уличённых в кибермошенничестве на $10 миллиардов. Киберпреступники используют принудительный труд и криптовалюты для обмана. 💼💻💸🛡️✋
Кража 41,5 миллиона долларов на бирже SwissBorg: что произошло и как компания планирует восстановить убытки
Криптобиржа SwissBorg сообщила о краже 192,600 SOL (41,5 млн $) из-за скомпрометированного API партнера. Более 1% пользователей не пострадали, средства остальных защищены. 🛡️💰👨💻
Масштабная угроза взлома для пользователей криптовалют: остерегайтесь кражи средств!
Криптовалютные пользователи в опасности: взлом аккаунта разработчика NPM привел к распространению вредоносного кода. Рекомендуется прекратить транзакции! ⚠️💻🔒💰
Хакерская атака на DeFi платформу Nemo Protocol: утрата 2,4 миллиона долларов и недовольство сообщества
Nemo Protocol, DeFi платформа, была взломана на 2,4 млн долларов перед обновлением. Атака затронула пул ликвидности, активы хранилища остались нетронутыми. Общество требует разъяснений. 🔍💰🚨