El hackeo de 1inch ha devuelto la mayor parte de los fondos, y la vulnerabilidad del contrato del analizador ha existido durante más de dos años

BlockBeats News, el 9 de marzo, después de que el equipo de 1inch descubriera una vulnerabilidad en su contrato inteligente de analizador Fusion v1 heredado el 7 de marzo, causando pérdidas de alrededor de 2.4 millones de USDC y 1,276 WETH, por un total de más de USD 5 millones. Lo único que se ve comprometido es el contrato del analizador que utiliza Fusion v1. Según un informe post-mortem del equipo de seguridad de Decurity, la vulnerabilidad existía en el código que se reescribió de Solidity a Yul en noviembre de 2022 y permaneció en el sistema durante más de dos años a pesar de haber sido auditada por varios equipos de seguridad. Después del incidente, el atacante pregunta “¿Puedo obtener una recompensa?” a través de un mensaje en la cadena y luego negocia con la víctima, TrustedVolumes. Después de negociaciones exitosas, los atacantes comenzaron a devolver los fondos en la noche del 5 de marzo, y finalmente devolvieron todos los fondos excepto la recompensa a las 4:12 a.m. UTC del 6 de marzo. Decurity, como parte del equipo de auditoría de Fusion V1, llevó a cabo una investigación interna sobre el incidente y aprendió varias lecciones, incluida la aclaración del modelo de amenazas y el alcance de la auditoría, la necesidad de tiempo adicional para los cambios de código durante la auditoría, la validación de los contratos implementados y más.