Een onderzoek van Carbontec onthulde dat meer dan $520.000 aan verkeerd gestuurde tokens stilletjes werden opgenomen uit 1inch Routers v4–v6 via openbare functies, waardoor een beveiligingsblindeling in een van de meest gebruikte contracten in defi bloot kwam te liggen.
Carbontec Onthult $520.000 Exploit Pad in Rescue-functie van 1inch Router
GESCHREVEN DOOR
DELEN
Ontwerpfout in 1inch Router Maakte Opname van Verkeerd Gestuurde Fondsen Mogelijk
Blockchainbeveiligingsbedrijf Carbontec heeft een significante ontwerpfout ontdekt in 1inch’s Aggregation Router v6 smart contract, een belangrijke defi-protocol die tokenswaps voor miljoenen gebruikers mogelijk maakt. Het probleem? Iedereen kon tokens die per ongeluk naar het contract waren gestuurd, opnemen, niet alleen de eigenaar.
Volgens een exclusief rapport gedeeld met Bitcoin.com Nieuws, werd meer dan $520.000 aan crypto, waaronder 4.2 WBTC (ongeveer $445K) in één transactie, verplaatst door niet-geassocieerde actoren over routerversies 4, 5 en 6. De fout komt voort uit openbaar toegankelijke callbackfuncties en de routerlogica die door gebruikers gedefinieerde swappools accepteert. Deze maken gespoofde transacties mogelijk die effectief fondsenfraude verdoezelen onder het mom van routinematig protocolgebruik.
In plaats van vergrendeld te zijn of alleen door 1inch terug te halen, werden verkeerd gestuurde tokens vrij beschikbaar voor iedereen met technische kennis. Dit is geen coderingsfout, maar een gasbesparend ontwerptrade-off die het gebruikersgedrag onderschatte en de veiligheid van het contract door obscuriteit overschatte.
Miroslav Baril, CTO van Carbontec, deelde enkele gedachten van het onderzoek van het bedrijf.
Dit is niet alleen een probleem van 1inch; het is een systematische blindeling die aanwezig zou kunnen zijn in andere defi-protocollen. De aanname dat verkeerd gestuurde tokens onherroepelijk zijn of alleen kunnen worden teruggehaald door contracteigenaren creëert een vals gevoel van veiligheid en bescherming. Reële wereldrisico’s komen vaak niet alleen voort uit fouten in code, maar ook uit ontwerppatronen. Kritieke aspecten van structureel protocolontwerp moeten in balans zijn met beveiliging en het voorkomen van misbruik.
Uit het onderzoek van Carbontec blijkt dat dit probleem niet alleen 1inch treft, maar mogelijk elk defi-protocol dat externe contractinvoer accepteert of interne swap callbacks blootstelt. Met honderden duizenden aan gebruikersfondsen die stilletjes zijn weggelekt, roept het onderzoek dringende vragen op over hoe defi-protocollen fouten afhandelen en wie echt toegang heeft tot gebruikersfondsen.
