Розслідування Carbontec виявило, що понад 520 000 доларів у неправильно надісланих токенах були тихо виведені з 1inch Routers v4–v6 через публічні функції, відкриваючи безпекову сліпу зону в одному з найширше використовуваних контрактів у DeFi.
Нагляд за дизайном у 1inch Router дозволив виведення неправильно надісланих коштів
Компанія з безпеки блокчейнів Carbontec виявила значну вразливість у дизайні смарт-контракту Aggregation Router v6 від 1inch, ключового протоколу DeFi, який полегшує обмін токенів для мільйонів користувачів. Проблема? Будь-хто міг би вивести токени, помилково надіслані до контракту, а не лише власник.
Згідно з ексклюзивом, поділеним з Bitcoin.com News, понад 520 000 доларів США в криптовалюті, включаючи 4,2 WBTC ( приблизно 445 000 доларів США ) в одній угоді, були переміщені неафілійованими особами через версії роутерів 4, 5 і 6. Недолік виникає з публічно доступних функцій зворотного виклику та логіки роутера, яка приймає користувацькі визначені пули обміну. Це дозволяє здійснювати підроблені транзакції, які фактично відмивають вилучення коштів під виглядом рутинного використання протоколу.
Замість того, щоб бути заблокованими або доступними лише через 1inch, неправильно надіслані токени стали доступними для будь-кого, хто має технічні знання. Це не помилка коду, а компроміс у дизайні для економії газу, який недооцінив поведінку користувачів і переоцінив безпеку контракту через прихованість.
Мірослав Баріл, технічний директор Carbontec, поділився деякими думками з розслідування компанії.
Це не просто проблема в 1 дюйм; це системна сліпа зона, яка може бути присутня в інших defi протоколах. Припущення, що неправильно надіслані токени або є незворотними, або можуть бути відновлені лише власниками контрактів, створює хибне відчуття безпеки та захищеності. Реальні ризики часто виникають не лише з помилок у коді, а й з дизайну шаблонів. Критичні аспекти структурного дизайну протоколу повинні бути збалансовані з безпекою та запобіганням зловживанням.
Дослідження Carbontec показує, що ця проблема стосується не лише 1inch, але потенційно будь-якого децентралізованого фінансового протоколу, який приймає зовнішні контракти або відкриває внутрішні зворотні виклики обміну. З сотнями тисяч у користувацьких фондах, тихо виведених, розслідування піднімає нагальні питання про те, як децентралізовані фінансові протоколи обробляють помилки і хто насправді має доступ до користувацьких фондів.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
