BlockBeats News, le 9 mars, après que l’équipe de 1inch a découvert une vulnérabilité dans son ancien contrat intelligent d’analyse syntaxique Fusion v1 le 7 mars, causant des pertes d’environ 2,4 millions d’USDC et 1 276 WETH, pour un total de plus de 5 millions de dollars. La seule chose qui est compromise est le contrat de l’analyseur utilisant Fusion v1. Selon un rapport post-mortem de l’équipe de sécurité de Decurity, la vulnérabilité existait dans le code qui a été réécrit de Solidity à Yul en novembre 2022 et est restée dans le système pendant plus de deux ans bien qu’elle ait été auditée par plusieurs équipes de sécurité. Après l’incident, l’attaquant demande « Puis-je obtenir une prime » via un message on-chain, puis négocie avec la victime, TrustedVolumes. Après des négociations fructueuses, les attaquants ont commencé à restituer les fonds dans la soirée du 5 mars, et ont finalement restitué tous les fonds, à l’exception de la prime, à 4h12 UTC le 6 mars. Decurity, en tant que membre de l’équipe d’audit de Fusion V1, a mené une enquête interne sur l’incident et en a tiré plusieurs leçons, notamment la clarification du modèle de menace et de la portée de l’audit, la nécessité de disposer de plus de temps pour les modifications de code pendant l’audit, la validation des contrats déployés, etc.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Le piratage de 1inch a rendu la plupart des fonds, et la vulnérabilité du contrat d’analyseur existe depuis plus de deux ans
BlockBeats News, le 9 mars, après que l’équipe de 1inch a découvert une vulnérabilité dans son ancien contrat intelligent d’analyse syntaxique Fusion v1 le 7 mars, causant des pertes d’environ 2,4 millions d’USDC et 1 276 WETH, pour un total de plus de 5 millions de dollars. La seule chose qui est compromise est le contrat de l’analyseur utilisant Fusion v1. Selon un rapport post-mortem de l’équipe de sécurité de Decurity, la vulnérabilité existait dans le code qui a été réécrit de Solidity à Yul en novembre 2022 et est restée dans le système pendant plus de deux ans bien qu’elle ait été auditée par plusieurs équipes de sécurité. Après l’incident, l’attaquant demande « Puis-je obtenir une prime » via un message on-chain, puis négocie avec la victime, TrustedVolumes. Après des négociations fructueuses, les attaquants ont commencé à restituer les fonds dans la soirée du 5 mars, et ont finalement restitué tous les fonds, à l’exception de la prime, à 4h12 UTC le 6 mars. Decurity, en tant que membre de l’équipe d’audit de Fusion V1, a mené une enquête interne sur l’incident et en a tiré plusieurs leçons, notamment la clarification du modèle de menace et de la portée de l’audit, la nécessité de disposer de plus de temps pour les modifications de code pendant l’audit, la validation des contrats déployés, etc.