BlockBeats News, 9 березня, після того, як 7 березня команда 1inch виявила вразливість у своєму застарілому смарт-контракті парсера Fusion v1, що спричинило збитки близько 2,4 мільйона USDC та 1 276 WETH, на загальну суму понад 5 мільйонів доларів. Єдине, що скомпрометовано, це контракт парсера за допомогою Fusion v1. Згідно з посмертним звітом команди безпеки Decurity, вразливість існувала в коді, який був переписаний з Solidity на Yul у листопаді 2022 року і залишався в системі понад два роки, незважаючи на те, що був перевірений кількома командами безпеки. Після інциденту зловмисник запитує «Чи можу я отримати винагороду?» через повідомлення в мережі, а потім домовляється з жертвою, TrustedVolumes. Після успішних переговорів зловмисники почали повертати кошти ввечері 5 березня, і нарешті повернули всі кошти, крім баунті, о 4:12 ранку UTC 6 березня. Decurity у складі аудиторської команди Fusion V1 провела внутрішнє розслідування інциденту та засвоїла кілька уроків, включаючи уточнення моделі загроз та обсягу аудиту, вимогу додаткового часу для зміни коду під час аудиту, перевірку розгорнутих контрактів тощо.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Злом 1inch повернув більшу частину коштів, а уразливість контракту парсера існує вже більше двох років
BlockBeats News, 9 березня, після того, як 7 березня команда 1inch виявила вразливість у своєму застарілому смарт-контракті парсера Fusion v1, що спричинило збитки близько 2,4 мільйона USDC та 1 276 WETH, на загальну суму понад 5 мільйонів доларів. Єдине, що скомпрометовано, це контракт парсера за допомогою Fusion v1. Згідно з посмертним звітом команди безпеки Decurity, вразливість існувала в коді, який був переписаний з Solidity на Yul у листопаді 2022 року і залишався в системі понад два роки, незважаючи на те, що був перевірений кількома командами безпеки. Після інциденту зловмисник запитує «Чи можу я отримати винагороду?» через повідомлення в мережі, а потім домовляється з жертвою, TrustedVolumes. Після успішних переговорів зловмисники почали повертати кошти ввечері 5 березня, і нарешті повернули всі кошти, крім баунті, о 4:12 ранку UTC 6 березня. Decurity у складі аудиторської команди Fusion V1 провела внутрішнє розслідування інциденту та засвоїла кілька уроків, включаючи уточнення моделі загроз та обсягу аудиту, вимогу додаткового часу для зміни коду під час аудиту, перевірку розгорнутих контрактів тощо.