BlockBeats News, le 9 mars, après que l’équipe de 1inch a découvert une vulnérabilité dans son ancien contrat intelligent d’analyse syntaxique Fusion v1 le 7 mars, causant des pertes d’environ 2,4 millions d’USDC et 1 276 WETH, pour un total de plus de 5 millions de dollars. La seule chose qui est compromise est le contrat de l’analyseur utilisant Fusion v1. Selon un rapport post-mortem de l’équipe de sécurité de Decurity, la vulnérabilité existait dans le code qui a été réécrit de Solidity à Yul en novembre 2022 et est restée dans le système pendant plus de deux ans bien qu’elle ait été auditée par plusieurs équipes de sécurité. Après l’incident, l’attaquant demande « Puis-je obtenir une prime » via un message on-chain, puis négocie avec la victime, TrustedVolumes. Après des négociations fructueuses, les attaquants ont commencé à restituer les fonds dans la soirée du 5 mars, et ont finalement restitué tous les fonds, à l’exception de la prime, à 4h12 UTC le 6 mars. Decurity, en tant que membre de l’équipe d’audit de Fusion V1, a mené une enquête interne sur l’incident et en a tiré plusieurs leçons, notamment la clarification du modèle de menace et de la portée de l’audit, la nécessité de disposer de plus de temps pour les modifications de code pendant l’audit, la validation des contrats déployés, etc.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Le piratage de 1inch a rendu la plupart des fonds, et la vulnérabilité du contrat d’analyseur existe depuis plus de deux ans
BlockBeats News, le 9 mars, après que l’équipe de 1inch a découvert une vulnérabilité dans son ancien contrat intelligent d’analyse syntaxique Fusion v1 le 7 mars, causant des pertes d’environ 2,4 millions d’USDC et 1 276 WETH, pour un total de plus de 5 millions de dollars. La seule chose qui est compromise est le contrat de l’analyseur utilisant Fusion v1. Selon un rapport post-mortem de l’équipe de sécurité de Decurity, la vulnérabilité existait dans le code qui a été réécrit de Solidity à Yul en novembre 2022 et est restée dans le système pendant plus de deux ans bien qu’elle ait été auditée par plusieurs équipes de sécurité. Après l’incident, l’attaquant demande « Puis-je obtenir une prime » via un message on-chain, puis négocie avec la victime, TrustedVolumes. Après des négociations fructueuses, les attaquants ont commencé à restituer les fonds dans la soirée du 5 mars, et ont finalement restitué tous les fonds, à l’exception de la prime, à 4h12 UTC le 6 mars. Decurity, en tant que membre de l’équipe d’audit de Fusion V1, a mené une enquête interne sur l’incident et en a tiré plusieurs leçons, notamment la clarification du modèle de menace et de la portée de l’audit, la nécessité de disposer de plus de temps pour les modifications de code pendant l’audit, la validation des contrats déployés, etc.