أعاد اختراق 1 بوصة معظم الأموال ، وكانت ثغرة عقد المحلل اللغوي موجودة منذ أكثر من عامين

BlockBeats News ، 9 مارس ، بعد أن اكتشف فريق 1inch ثغرة أمنية في عقده الذكي القديم Fusion v1 المحلل اللغوي في 7 مارس ، مما تسبب في خسائر تبلغ حوالي 2.4 مليون دولار أمريكي و 1,276 WETH ، بإجمالي أكثر من 5 ملايين دولار. الشيء الوحيد الذي يتم اختراقه هو عقد المحلل اللغوي باستخدام Fusion v1. وفقا لتقرير ما بعد الوفاة الصادر عن فريق Decurity الأمني ، كانت الثغرة الأمنية موجودة في الكود الذي أعيد كتابته من Solidity إلى Yul في نوفمبر 2022 وظل في النظام لأكثر من عامين على الرغم من تدقيقه من قبل فرق أمنية متعددة. بعد الحادث ، يسأل المهاجم “هل يمكنني الحصول على مكافأة” عبر رسالة على السلسلة ، ثم يتفاوض مع الضحية ، TrustedVolumes. بعد مفاوضات ناجحة ، بدأ المهاجمون في إعادة الأموال مساء يوم 5 مارس ، وأعادوا أخيرا جميع الأموال باستثناء المكافأة في الساعة 4:12 صباحا بالتوقيت العالمي المنسق في 6 مارس. أجرت Decurity ، كجزء من فريق تدقيق Fusion V1 ، تحقيقا داخليا في الحادث وتعلمت العديد من الدروس ، بما في ذلك توضيح نموذج التهديد ونطاق التدقيق ، وطلب وقت إضافي لتغيير التعليمات البرمجية أثناء التدقيق ، والتحقق من صحة العقود المنشورة ، والمزيد.