Un’indagine di Carbontec ha rivelato che oltre $520.000 in token inviati errati sono stati prelevati silenziosamente dai Router 1inch v4–v6 tramite funzioni pubbliche, esponendo un punto cieco di sicurezza in uno dei contratti più utilizzati nella defi.
Carbontec Scopre un Percorso di Sfruttamento da $520.000 nella Funzione di Recupero del Router 1inch
SCRITTO DA
CONDIVIDI
Errore di Progettazione nel Router 1inch Ha Consentito il Prelievo di Fondi Inviati per Errore
La società di sicurezza blockchain Carbontec ha scoperto una significativa vulnerabilità di progettazione nel contratto intelligente Aggregation Router v6 di 1inch, un protocollo chiave della defi che facilita lo scambio di token per milioni di utenti. Il problema? Chiunque poteva prelevare token inviati erroneamente al contratto, non solo il proprietario.
Secondo un’esclusiva condivisa con Bitcoin.com News, oltre $520.000 in criptovalute, inclusi 4.2 WBTC (circa $445K) in una transazione, sono stati spostati da attori non affiliati tra le versioni del router 4, 5 e 6. Il difetto deriva da funzioni di callback pubblicamente accessibili e dalla logica del router che accetta pool di swap definiti dagli utenti. Queste permettono transazioni falsificate che di fatto riciclano estrazioni di fondi sotto la copertura dell’uso routinario del protocollo.
Piuttosto che essere bloccati o recuperabili solo da 1inch, i token inviati per errore sono diventati gioco aperto per chiunque avesse conoscenze tecniche. Questo non è un bug di codifica, ma un compromesso di progettazione per risparmiare gas che ha sottovalutato il comportamento degli utenti e sopravvalutato la sicurezza del contratto tramite l’oscurantismo.
Miroslav Baril, CTO di Carbontec, ha condiviso alcune riflessioni dall’indagine dell’azienda.
Questo non è solo un problema di 1inch; è un punto cieco sistemico che potrebbe essere presente in altri protocolli defi. L’assunzione che i token inviati per errore siano irripetibili o recuperabili solo dai proprietari del contratto crea un falso senso di sicurezza. I rischi reali emergono spesso non solo da bug nel codice, ma anche da schemi di progettazione. Gli aspetti critici del design strutturale dei protocolli devono essere bilanciati con sicurezza e prevenzione degli abusi.
La ricerca di Carbontec mostra che questo problema non riguarda solo 1inch, ma potenzialmente qualsiasi protocollo defi che accetta input da contratti esterni o espone callback di swap interni. Con centinaia di migliaia in fondi degli utenti sottratti silenziosamente, l’indagine solleva domande urgenti su come i protocolli defi gestiscono gli errori e chi davvero ha accesso ai fondi degli utenti.
Tag in questa storia
Scelte di Gioco Bitcoin
Betpanda
100% di Bonus fino a 1 BTC + 10% di Cashback Settimanale senza Scommessa
Cryptorino
100% di Bonus Fino a 1 BTC + 10% di Cashback Settimanale
Playbet.io
130% fino a 2.500 USDT + 200 Giri Gratuiti + 20% di Cashback Settimanale senza Scommessa
Parimatch
1000% di Bonus di Benvenuto + Scommessa Gratuita fino a 1 BTC
Cloudbet
Fino a 2.500 USDT + 150 Giri Gratuiti + Fino al 30% di Rakeback
BC.Game
470% di Bonus fino a $500.000 + 400 Giri Gratuiti + 20% di Rakeback
3,5% di Rakeback su Ogni Scommessa + Estrazioni Settimanali
425% fino a 5 BTC + 100 Giri Gratuiti
100% fino a $20K + Rakeback Giornaliero
