Carbontec Afslører $520,000 Exploiteringsvej i 1inch Router's Redningsfunktion

Designfejl i 1inch Router Tillod Udhentning af Fejlagtigt Sendte Midler

Blockchain-sikkerhedsfirmaet Carbontec har afdækket en betydelig designmæssig sårbarhed i 1inch’s Aggregation Router v6 smart-kontrakt, en nøgleprotokol inden for defi, der faciliterer token-swaps for millioner af brugere. Problemet? Enhver kunne hæve tokens fejlagtigt sendt til kontrakten, ikke kun ejeren.

Ifølge en eksklusiv udtalelse delt med Bitcoin.com Nyheder, blev mere end $520,000 i krypto, inklusive 4.2 WBTC (cirka $445K) i en enkelt transaktion, flyttet af ikke-tilknyttede aktører på tværs af router-versioner 4, 5 og 6. Fejlen stammer fra offentligt tilgængelige callback-funktioner og routerens logik, der accepterer brugerdefinerede swap-puljer. Disse tillader falske transaktioner, der effektivt hvidvasker fondudtrækninger under dække af rutinemæssig protokolbrug.

I stedet for at være låst eller kun kunne hentes af 1inch, blev fejlsendte tokens fri bytte for alle med teknisk viden. Dette er ikke en kodningsfejl, men en gasbesparende designafvejning, der undervurderede brugeradfærd og overvurderede kontraktsikkerhed gennem obskuritet.

Miroslav Baril, CTO hos Carbontec, delte nogle tanker fra virksomhedens undersøgelse.

Dette er ikke blot et problem med 1inch; det er et systemisk blindpunkt, der kunne være til stede i andre defi-protokoller. Antagelsen om, at fejlsendte tokens enten er uoprettelige eller kun kan hentes af kontraktejere, skaber en falsk sikkerhed og tryghed. Risici i den virkelige verden opstår ofte ikke kun fra fejl i koden, men også fra designmønstre. Kritiske aspekter af strukturel protokoldesign skal balanceres med sikkerhed og forebyggelse af misbrug.

Carbontecs forskning viser, at dette problem ikke kun påvirker 1inch, men potentielt enhver defi-protokol, der accepterer ekstern kontraktinput eller eksponerer interne swap-callbacks. Med hundredtusinder i brugerfonde stille og roligt afledt, rejser undersøgelsen presserende spørgsmål om, hvordan defi-protokoller håndterer fejl, og hvem der egentlig har adgang til brugerfonde.