BlockBeats 消息,3 月 9 日,此前 3 月 7 日 1inch 團隊發現其舊版 Fusion v1 解析器智能合約存在漏洞,造成約 240 萬 USDC 和 1276 WETH 損失,總計超過 500 萬美元。受損對象僅為使用 Fusion v1 的解析器合約。根據 Decurity 安全團隊的事後調查報告,該漏洞存在於 2022 年 11 月從 Solidity 重寫為 Yul 的代碼中,儘管經過多家安全團隊審計,但該漏洞仍在系統中存在超過兩年。事件發生後,攻擊者通過鏈上消息詢問「我能獲得賞金嗎」,隨後與受害方 TrustedVolumes 進行協商。談判成功後,攻擊者於 3 月 5 日晚間開始歸還資金,最終在 3 月 6 日凌晨 4:12(UTC 時間)歸還了除賞金外的全部資金。Decurity 作為 Fusion V1 審計團隊之一,對此事件進行了內部調查,並總結了幾點教訓,包括明確威脅模型和審計範圍、對審計期間變更的代碼要求額外時間、驗證已部署合約等。
1inch黑客已歸還大部分資金,解析器合約漏洞存在超兩年
BlockBeats 消息,3 月 9 日,此前 3 月 7 日 1inch 團隊發現其舊版 Fusion v1 解析器智能合約存在漏洞,造成約 240 萬 USDC 和 1276 WETH 損失,總計超過 500 萬美元。受損對象僅為使用 Fusion v1 的解析器合約。根據 Decurity 安全團隊的事後調查報告,該漏洞存在於 2022 年 11 月從 Solidity 重寫為 Yul 的代碼中,儘管經過多家安全團隊審計,但該漏洞仍在系統中存在超過兩年。事件發生後,攻擊者通過鏈上消息詢問「我能獲得賞金嗎」,隨後與受害方 TrustedVolumes 進行協商。談判成功後,攻擊者於 3 月 5 日晚間開始歸還資金,最終在 3 月 6 日凌晨 4:12(UTC 時間)歸還了除賞金外的全部資金。Decurity 作為 Fusion V1 審計團隊之一,對此事件進行了內部調查,並總結了幾點教訓,包括明確威脅模型和審計範圍、對審計期間變更的代碼要求額外時間、驗證已部署合約等。