BlockBeats News, el 9 de marzo, después de que el equipo de 1inch descubriera una vulnerabilidad en su contrato inteligente de analizador Fusion v1 heredado el 7 de marzo, causando pérdidas de alrededor de 2.4 millones de USDC y 1,276 WETH, por un total de más de USD 5 millones. Lo único que se ve comprometido es el contrato del analizador que utiliza Fusion v1. Según un informe post-mortem del equipo de seguridad de Decurity, la vulnerabilidad existía en el código que se reescribió de Solidity a Yul en noviembre de 2022 y permaneció en el sistema durante más de dos años a pesar de haber sido auditada por varios equipos de seguridad. Después del incidente, el atacante pregunta "¿Puedo obtener una recompensa?" a través de un mensaje en la cadena y luego negocia con la víctima, TrustedVolumes. Después de negociaciones exitosas, los atacantes comenzaron a devolver los fondos en la noche del 5 de marzo, y finalmente devolvieron todos los fondos excepto la recompensa a las 4:12 a.m. UTC del 6 de marzo. Decurity, como parte del equipo de auditoría de Fusion V1, llevó a cabo una investigación interna sobre el incidente y aprendió varias lecciones, incluida la aclaración del modelo de amenazas y el alcance de la auditoría, la necesidad de tiempo adicional para los cambios de código durante la auditoría, la validación de los contratos implementados y más.
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
El hackeo de 1inch ha devuelto la mayor parte de los fondos, y la vulnerabilidad del contrato del analizador ha existido durante más de dos años
BlockBeats News, el 9 de marzo, después de que el equipo de 1inch descubriera una vulnerabilidad en su contrato inteligente de analizador Fusion v1 heredado el 7 de marzo, causando pérdidas de alrededor de 2.4 millones de USDC y 1,276 WETH, por un total de más de USD 5 millones. Lo único que se ve comprometido es el contrato del analizador que utiliza Fusion v1. Según un informe post-mortem del equipo de seguridad de Decurity, la vulnerabilidad existía en el código que se reescribió de Solidity a Yul en noviembre de 2022 y permaneció en el sistema durante más de dos años a pesar de haber sido auditada por varios equipos de seguridad. Después del incidente, el atacante pregunta "¿Puedo obtener una recompensa?" a través de un mensaje en la cadena y luego negocia con la víctima, TrustedVolumes. Después de negociaciones exitosas, los atacantes comenzaron a devolver los fondos en la noche del 5 de marzo, y finalmente devolvieron todos los fondos excepto la recompensa a las 4:12 a.m. UTC del 6 de marzo. Decurity, como parte del equipo de auditoría de Fusion V1, llevó a cabo una investigación interna sobre el incidente y aprendió varias lecciones, incluida la aclaración del modelo de amenazas y el alcance de la auditoría, la necesidad de tiempo adicional para los cambios de código durante la auditoría, la validación de los contratos implementados y más.