En Carbontec-undersøkelse avdekket at over $520,000 i feilsendte tokens ble stille trukket ut fra 1inch Routers v4–v6 via offentlige funksjoner, noe som avslørte en sikkerhetsblindflekk i en av defi sine mest brukte kontrakter.
Carbontec Avdekker utnyttelsesvei på $520,000 i 1inch Router’s Rescue Function
SKREVET AV
DEL
Designmangel i 1inch Router Tillot Uttak av Feilsendte Midler
Blokkjedesikkerhetsselskapet Carbontec har avdekket en betydelig designfeil i 1inch’s Aggregation Router v6 smartkontrakt, en viktig defi-protokoll som muliggjør tokens-bytte for millioner av brukere. Problemet? Hvem som helst kunne trekke ut tokens som feilaktig ble sendt til kontrakten, ikke bare eieren.
I følge en eksklusiv rapport delt med Bitcoin.com Nyheter, ble mer enn $520,000 av krypto, inkludert 4.2 WBTC (ca. $445K) i én transaksjon, flyttet av ikke-tilknyttede aktører over router-versjonene 4, 5 og 6. Feilen stammer fra offentlig tilgjengelige callback-funksjoner og routerens logikk som aksepterer brukedefinerte byttepools. Disse tillater forfalskede transaksjoner som effektivt vasker fondsuttak under dekke av rutinemessig protokollbruk.
I stedet for å være låst eller kun hentebare av 1inch, ble feilsendte tokens et åpent mål for hvem som helst med teknisk kunnskap. Dette er ikke en kodingsfeil, men en gassbesparende designavveining som undervurderte brukeradferd og overvurderte kontraktsikkerhet gjennom skjulthet.
Miroslav Baril, CTO hos Carbontec, delte noen tanker fra selskapets undersøkelse.
Dette er ikke bare et 1-inch problem; det er en systemisk blindflekk som kan være til stede i andre defi-protokoller. Antagelsen om at feilsendte tokens enten er uhentbare eller kun kan gjenopprettes av kontrakteiere, skaper en falsk følelse av sikkerhet. Reelle risikoer oppstår ofte ikke bare fra kodefeil, men også fra designmønstre. Kritiske aspekter ved strukturell protokolldesign må balanseres med sikkerhet og forebygging av misbruk.
Carbontecs forskning viser at dette problemet påvirker ikke bare 1inch, men potensielt enhver defi-protokoll som aksepterer eksterne kontraktinnspill eller eksponerer interne swap-callbacks. Med hundretusener av brukermidler stille tappet, reiser undersøkelsen presserende spørsmål om hvordan defi-protokoller håndterer feil og hvem som egentlig har tilgang til brukermidler.
Tags i denne artikkelen
Bitcoin spillvalg
Betpanda
100% Bonus opp til 1 BTC + 10% Ukentlig Innsatsfri Cashback
Cryptorino
100% Bonus Opp Til 1 BTC + 10% Ukentlig Cashback
Playbet.io
130% opp til 2 500 USDT + 200 Gratisspinn + 20% Ukentlig Innsatsfri Cashback
Parimatch
1000% Velkomstbonus + Gratis Veddemål opp til 1 BTC
Cloudbet
Opp til 2 500 USDT + 150 Gratisspinn + Opp til 30% Rakeback
BC.Game
470% Bonus opp til $500 000 + 400 Gratisspinn + 20% Rakeback
Stake
3,5% Rakeback på Hvert Veddemål + Ukentlige Lodtrekninger
425% opp til 5 BTC + 100 Gratisspinn
Punkz
100% opp til $20K + Daglig Rakeback
