Carbontec araştırması, 1inch Routers v4–v6’daki kamuya açık fonksiyonlar aracılığıyla yanlış gönderilen 520.000 dolardan fazla jetonun sessizce çekildiğini ve defi’nin en yaygın kullanılan sözleşmelerinden birinde bir güvenlik kör noktası olduğunu ortaya çıkardı.
Carbontec, 1inch Router'ın Kurtarma Fonksiyonunda 520.000 Dolarlık Bir Açık Yolu Ortaya Çıkardı.
YAZAN
PAYLAŞ
1inch Router’daki Tasarım Hatası Yanlış Gönderilen Fonların Çekilmesine İzin Verdi
Blockchain güvenlik firması Carbontec, milyonlarca kullanıcı için token takasını kolaylaştıran önemli bir defi protokolü olan 1inch’in Aggregation Router v6 akıllı sözleşmesinde önemli bir tasarım zafiyeti keşfetti. Sorun ne miydi? Yanlışlıkla sözleşmeye gönderilen jetonları sadece sahibi değil, herhangi biri çekebiliyordu.
Bitcoin.com Haberlerine özel olarak paylaşılan bilgilere göre 4,2 WBTC’nin (yaklaşık 445K $) tek bir işlemde olduğu 520.000 dolardan fazla kripto, 4, 5 ve 6 numaralı router sürümleri boyunca bağlantısız aktörler tarafından taşındı. Hata, kamuya açık geri arama fonksiyonlarından ve kullanıcı tanımlı takas havuzlarını kabul eden router mantığından kaynaklanıyor. Bunlar, rutin protokol kullanımının kisvesi altında fon çekimlerini etkili bir şekilde aklayan sahte işlemlere izin veriyor.
Yanlışlıkla gönderilen jetonlar 1inch tarafından kilitlenmek veya sadece geri alınabilir olmak yerine, teknik bilgiye sahip herkes için serbest birer hedef haline geldi. Bu bir kodlama hatası değil, kullanıcı davranışını hafife alan ve güvenliği kapalılıkla sağlayan bir gaz tasarrufu tasarım tercihi.
Miroslav Baril, Carbontec’in CTO’su, şirketin araştırmasından bazı düşünceler paylaştı.
Bu sadece bir 1 inç sorunu değil; diğer defi protokollerinde de bulunan sisteme ait kör bir nokta. Yanlış gönderilen jetonların ya ulaşılamaz ya da yalnızca sözleşme sahipleri tarafından geri alınabilir olduğu varsayımı, yanlış bir güvenlik ve emniyet hissi yaratıyor. Gerçek dünya riskleri sadece koddaki hatalardan değil, aynı zamanda tasarım kalıplarından da ortaya çıkıyor. Yapısal protokol tasarımının kritik yönleri, güvenlik ve kötüye kullanım önleme ile dengelenmelidir.
Carbontec’in araştırması, bu sorunun yalnızca 1inch’i değil, dış sözleşme girdilerini kabul eden veya dahili takas çağrılarını açığa çıkaran potansiyel olarak herhangi bir defi protokolünü etkilediğini gösteriyor. Kullanıcı fonlarında yüz binlerce dolar sessizce aktarılırken, araştırma defi protokollerinin hataları nasıl ele aldıkları ve kullanıcı fonlarına gerçekten kimin erişimi olduğu konusunda acil soruları gündeme getiriyor.
