En utredning av Carbontec avslöjade att över $520,000 i felaktigt skickade tokens tyst togs ut från 1inch Routers v4–v6 via offentliga funktioner, vilket exponerade en säkerhetsblind fläck i ett av defi:s mest använda kontrakt.
Carbontec Avslöjar Exploateringsväg På $520,000 i 1inch Routers Rescue-funktion
SKRIVEN AV
DELA
Designöversikt i 1inch Router Tillät Uttag av Felaktigt Skickade Medel
Blockkedjesäkerhetsföretaget Carbontec har upptäckt en betydande designbrist i 1inch:s Aggregation Router v6 smartkontrakt, ett viktigt defi-protokoll som underlättar tokenswappar för miljontals användare. Problemet? Vem som helst kunde ta ut felaktigt skickade tokens till kontraktet, inte bara ägaren.
Enligt en exklusiv delad med Bitcoin.com News, flyttades mer än $520,000 i krypto, inklusive 4.2 WBTC (ungefär $445K) i en transaktion, av orelaterade aktörer över routerversionerna 4, 5 och 6. Felet kommer från allmänt tillgängliga återkopplingsfunktioner och routerns logik som accepterar användardefinierade swapsystem. Dessa möjliggör förfalskade transaktioner som effektivt tvättar uttagsmedel under sken av rutinmässig protokollanvändning.
Istället för att vara låsta eller möjliga att återfå endast av 1inch, blev felaktigt skickade tokens fritt fram för alla med teknisk kunskap. Detta är inte en kodningsbugg, utan en gasbesparande designeftergift som underskattade användarbeteende och överskattade kontraktsäkerhet genom obskuritet.
Miroslav Baril, CTO på Carbontec, delade några tankar från företagets utredning.
Detta är inte bara ett 1inch-problem; det är en systematisk blind fläck som kan finnas i andra defi-protokoll. Antagandet att felaktigt skickade tokens är antingen oåterkalleliga eller endast återfårbara av kontraktsägare skapar en falsk känsla av säkerhet. Risker i verkliga världen uppkommer inte bara från buggar i koden utan även från designmönster. Viktiga aspekter av strukturell protokolldesign måste balanseras med säkerhet och missbruksförebyggande.
Carbontecs forskning visar att detta problem inte bara påverkar 1inch, utan potentiellt vilket defi-protokoll som helst som accepterar extern kontraktsinmatning eller exponerar interna swap-återkopplingar. Med hundratusentals dollar i användarfonder tyst avlyssnade, väcker undersökningen pressande frågor om hur defi-protokoll hanterar fel och vem som verkligen har tillgång till användarfonder.
Taggar i denna artikel
Bitcoin spelval
130% upp till 2 500 USDT + 200 Gratissnurr + 20% Veckovis Omsättningsfri Cashback
