Vyšetřování Carbontec odhalilo, že prostřednictvím veřejných funkcí bylo nenápadně vybráno přes 520 000 dolarů v nesprávně zaslaných tokenech z 1inch Routerů v4–v6, což odhalilo bezpečnostní slepé místo v jedné z nejčastěji používaných smluv defi.
Carbontec odhalil zranitelnost v hodnotě $520,000 v záchranné funkci routeru 1inch
NAPSAL
SDÍLET
Chyba v designu 1inch Routeru umožnila výběr nesprávně zaslaných prostředků
Firma pro blockchainovou bezpečnost Carbontec odhalila významnou zranitelnost v konstrukci chytré smlouvy 1inch’s Aggregation Router v6, klíčového defi protokolu, který umožňuje swap tokenů pro miliony uživatelů. Problém? Kdokoli mohl vybrat tokeny omylem zaslané na smlouvu, nejen její vlastník.
Podle exkluzivní zprávy sdílené s Bitcoin.com News bylo přes 520 000 dolarů v kryptoměnách, včetně 4,2 WBTC (přibližně 445K dolarů) v jedné transakci, přesunuto cizími aktory napříč verzemi routerů 4, 5 a 6. Chyba pochází z veřejně přístupných funkcí zpětného volání a logiky routeru, která přijímá uživatelsky definované swap pooly. Ty umožňují zfalšované transakce, které efektivně perou prostředky pod záminkou rutinního používání protokolu.
Místo toho, aby byly zamknuty nebo získatelné pouze 1inch, se nesprávně zaslané tokeny staly snadnou kořistí pro kohokoli s technickými znalostmi. Nejedná se o kódovou chybu, ale o designovou úsporu plynu, která podcenila chování uživatelů a přeceňovala bezpečnost smlouvy skrze její zamlženost.
Miroslav Baril, CTO v Carbontec, sdílel několik myšlenek z vyšetřování společnosti.
Nejde jen o problém s 1inch; jedná se o systémovou slepou skvrnu, která by mohla být přítomna i v jiných defi protokolech. Předpoklad, že nesprávně zaslané tokeny jsou buď nevyzvednutelné, nebo je mohou získat pouze vlastníci smluv, vytváří falešný pocit bezpečí a jistoty. Skutečná rizika často nevycházejí jen z chyb v kódu, ale také z designových vzorců. Kritické aspekty struktury designu protokolu musí být vyváženy s bezpečností a prevencí zneužití.
Výzkum Carbontec ukazuje, že tento problém se netýká jen 1inch, ale potenciálně jakéhokoli defi protokolu, který přijímá vstupy externích smluv nebo vystavuje interní swap callbacky. S odcizením statisíců dolarů v uživatelských prostředcích vyvolává vyšetřování naléhavé otázky o tom, jak defi protokoly řeší chyby a kdo má skutečný přístup k uživatelským prostředkům.
Štítky v tomto článku
Výběry her Bitcoin
Betpanda
100% Bonus až do 1 BTC + 10% Týdenní Cashback Bez Sázky
Cryptorino
100% Bonus Až Do 1 BTC + 10% Týdenní Cashback
Playbet.io
130% až do 2 500 USDT + 200 Volných Točení + 20% Týdenní Cashback Bez Sázky
Parimatch
1000% Vítací Bonus + Bezplatná Sázka až do 1 BTC
Cloudbet
Až do 2 500 USDT + 150 Volných Točení + Až 30% Rakeback
BC.Game
470% Bonus až do $500 000 + 400 Volných Točení + 20% Rakeback
Stake
3,5% Rakeback při Každé Sázce + Týdenní Losování
425% až do 5 BTC + 100 Volných Točení
Punkz
100% až do $20K + Denní Rakeback
