Взлом 1inch вернул большую часть средств, а уязвимость контракта парсера существует уже более двух лет

BlockBeats News, 9 марта, после того, как 7 марта команда 1inch обнаружила уязвимость в своем устаревшем смарт-контракте парсера Fusion v1, вызвавшую убытки в размере около 2,4 миллиона долларов США и 1 276 WETH на общую сумму более 5 миллионов долларов. Единственное, что скомпрометировано, — это контракт парсера с использованием Fusion v1. Согласно отчету о разборе инцидента команды безопасности Decurity, уязвимость существовала в коде, который был переписан с Solidity на Yul в ноябре 2022 года и оставался в системе более двух лет, несмотря на то, что был проверен несколькими командами безопасности. После инцидента злоумышленник спрашивает «Могу ли я получить награду» через ончейн-сообщение, а затем ведет переговоры с жертвой, TrustedVolumes. После успешных переговоров злоумышленники начали возвращать средства вечером 5 марта, а в итоге вернули все средства, кроме награды, в 4:12 утра UTC 6 марта. Компания Decurity, входящая в состав аудиторской группы Fusion V1, провела внутреннее расследование инцидента и извлекла несколько уроков, включая уточнение модели угроз и объема аудита, необходимость дополнительного времени для внесения изменений в код во время аудита, проверку развернутых контрактов и многое другое.