Uma investigação da Carbontec revelou que mais de $520,000 em tokens enviados incorretamente foram retirados silenciosamente dos Routers 1inch v4–v6 através de funções públicas, expondo um ponto cego de segurança em um dos contratos mais amplamente utilizados em defi.
Supervisão de Design no Router 1inch Permitida Retirada de Fundos Enviados por Engano
A empresa de segurança em blockchain Carbontec descobriu uma vulnerabilidade de design significativa no contrato inteligente Aggregation Router v6 da 1inch, um protocolo defi chave que facilita trocas de tokens para milhões de usuários. O problema? Qualquer pessoa poderia retirar tokens enviados por engano para o contrato, não apenas o proprietário.
De acordo com uma exclusividade partilhada com a Bitcoin.com News, mais de $520,000 em cripto, incluindo 4.2 WBTC ( aproximadamente $445K) em uma transação, foram movimentados por atores não afiliados através das versões 4, 5 e 6 do router. A falha decorre de funções de callback acessíveis publicamente e da lógica do router que aceita pools de troca definidos pelo usuário. Estes permitem transações falsificadas que efetivamente lavam extrações de fundos sob a aparência de uso rotineiro do protocolo.
Em vez de serem bloqueados ou recuperáveis apenas pelo 1inch, os tokens enviados incorretamente tornaram-se alvo fácil para qualquer pessoa com conhecimento técnico. Este não é um erro de codificação, mas uma compensação de design para economia de gás que subestimou o comportamento do usuário e superestimou a segurança do contrato através da obscuridade.
Miroslav Baril, CTO da Carbontec, compartilhou alguns pensamentos da investigação da empresa.
Este não é apenas um problema de 1 polegada; é um ponto cego sistémico que pode estar presente em outros protocolos defi. A suposição de que tokens enviados incorretamente são ou irretrieváveis ou apenas recuperáveis pelos proprietários do contrato cria uma falsa sensação de segurança. Os riscos do mundo real muitas vezes surgem não apenas de bugs no código, mas também de padrões de design. Aspectos críticos do design estrutural do protocolo devem ser equilibrados com a segurança e a prevenção de uso indevido.
A pesquisa da Carbontec mostra que este problema afeta não apenas o 1inch, mas potencialmente qualquer protocolo defi que aceite entrada de contratos externos ou exponha callbacks de troca internos. Com centenas de milhares em fundos de usuários sendo desviados silenciosamente, a investigação levanta questões urgentes sobre como os protocolos defi lidam com erros e quem realmente tem acesso aos fundos dos usuários.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
