Уязвимость в устаревшем смарт-контракте 1inch привела к потере $5 млн. Хакер возместил активы
5 марта команда 1inch выявила уязвимость в устаревшем смарт-контракте Fusion v1. Ошибка привела к убыткам в размере 2,4 млн USDT и 1276 wETH (~$2,7 млн), по данным компании SlowMist.
В комментарии ForkLog юристы 1inch уточнили, что атака была направлена не на саму платформу, а на конкретных резолверов (маркетмейкеров), которые использовали старый смарт-контракт. Инцидент не затронул средства агрегатора и его пользователей.
«Уязвимость связана с устаревшим контрактом 1inch Settlement v1, который утратил актуальность и больше не используется. Под угрозой оказались резолверы, продолжившие применять старый контракт без надлежащих мер безопасности», — отметили представители 1inch.
Аналитики зафиксировали подозрительные транзакции, связанные с платформой в тот же день.
Представители 1inch заявили, что средства конечных пользователей не пострадали. Инцидент затронул только парсеры, использующие Fusion v1.
We’re actively working with affected resolvers to secure their systems.We urge all resolvers to audit and update their contracts immediately. For more details and bug bounty info (inc. funds return), visit: https://t.co/obLdWF2c6W
— 1inch (@1inch) March 6, 2025
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!
«Мы активно сотрудничаем с пострадавшими сторонами для защиты их систем. Призываем всех разработчиков срочно проверить свои контракты и обновить их», — говорится в предупреждении.
Аудитор Decurity выпустил анализ инцидента, который назвал «одной из самых сложных атак на DeFi».
Согласно отчету, в старой версии 1inch Settlement присутствовала опция обратного вызова для исполнения всех совпадающих ордеров.
«Callback-функция должна была вызываться, только когда ордер исполняет сам контракт резолвера. Однако из-за ошибки в обработке аргументов функции при парсинге суффикса ордера оказалось возможным перезаписать адрес контракта резолвера и сделать вызов к любому из них. Это привело к потерям маркетмейкера TrustedVolumes», — объяснили эксперты.
5 марта хакер запросил у жертвы вознаграждение и договорился о выплате $450 000 в качестве баунти. Остальная сумма возвращена маркетмейкеру.
Напомним, в феврале индустрия потеряла $1,53 млрд, сообщили эксперты Immunefi. Это связано со взломом биржи Bybit на почти $1,5 млрд.