Carbontec afslører $520.000 udnyttelse i 1inch Routers designfejl

Fejlsendte Tokens i DeFi: En Alvorlig Sikkerhedsrisiko

En undersøgelse fra Carbontec har afsløret, at over $520.000 i fejlsendte tokens stille og roligt er blevet trukket tilbage fra 1inch Routers versioner 4 til 6 via offentlige funktioner. Dette afslører et sikkerhedshul i en af de mest anvendte kontrakter inden for DeFi.

Designfejl i 1inch’s Aggregation Router v6

Blockchain-sikkerhedsfirmaet Carbontec har opdaget en betydelig designfejl i 1inch’s Aggregation Router v6 smart contract, som er en central DeFi-protokol, der muliggør token swaps for millioner af brugere. Problemet? Enhver kan trække tokens tilbage, der fejlagtigt er sendt til kontrakten, ikke kun ejeren.

“Ifølge en eksklusiv rapport delt med Bitcoin.com News, blev mere end $520.000 værd af kryptovaluta, herunder 4,2 WBTC (ca. $445K) i én transaktion, flyttet af uafhængige aktører på tværs af routerversionerne 4, 5 og 6.”

Årsagen til Problemet

Fejlen stammer fra offentligt tilgængelige callback-funktioner og routerens logik, der accepterer brugerdefinerede swap-pools. Disse muliggør spoofede transaktioner, der effektivt vasker pengeudtræk under dække af rutinemæssig protokolbrug. I stedet for at være låst eller kun kunne hentes af 1inch, blev fejlsendte tokens tilgængelige for alle med teknisk viden.

Dette er ikke en kodningsfejl, men et gasbesparende designkompromis, der undervurderede brugeradfærd og overvurderede kontraktens sikkerhed gennem uklarhed.

Systemisk Blindpunkt i DeFi

Miroslav Baril, CTO hos Carbontec, delte nogle tanker fra virksomhedens undersøgelse. Dette er ikke kun et problem for 1inch; det er et systemisk blindpunkt, der kunne være til stede i andre DeFi-protokoller. Antagelsen om, at fejlsendte tokens enten er uoprettelige eller kun kan genvindes af kontraktejere, skaber en falsk følelse af sikkerhed.

“Virkelige risici opstår ofte ikke kun fra fejl i koden, men også fra designmønstre. Kritiske aspekter af strukturel protokoldesign skal balanceres med sikkerhed og forebyggelse af misbrug.”

Konklusion

Carbontecs forskning viser, at dette problem ikke kun påvirker 1inch, men potentielt enhver DeFi-protokol, der accepterer ekstern kontraktinput eller udsætter interne swap-callbacks. Med hundredtusinder af brugerfunde stille og roligt siphoned off, rejser undersøgelsen presserende spørgsmål om, hvordan DeFi-protokoller håndterer fejl, og hvem der virkelig har adgang til brugerfunde.

Relaterede indlæg

Seneste fra Blog

Crosschain Swaps Flytter $21 Milliarder i Ulovlige Midler: En 200% Stigning på To År ifølge Elliptic

Kryptovaluta og Hvidvaskning Mindst $21,8 milliarder i ulovlig eller højrisiko kryptovaluta er strømmet gennem crosschain swaps, op fra $7 milliarder i 2023, ifølge estimater fra det britiske blockchain-analysefirma Elliptic. Elliptic tilskriver 12%

IRS Kortlægger Wallet-aktivitet På Tværs Af Kæder – Ekspert Advarer Om Forberedelse

Advarsel til Kryptohandlere om 1099-DA Formular En skatteekspert har advaret handlende, især dem der opererer diskret, om det kommende krav om at indgive formular 1099-DA, som træder i kraft i 2026. Eksperten

Bitlayer Udgiver Sin Seneste Produktplan for At Bygge Den Ultimative Bitcoin DeFi-Infrastruktur

Bitlayer Projektets Sommer Launch Event Bitlayer-projektet har officielt offentliggjort sin video fra Sommer Launch Event, som fokuserer på Bitcoin DeFi-infrastruktur. Begivenheden, med temaet “Den Ultimative Bitcoin DeFi Infrastruktur”, præsenterede projektets medstiftere, Kevin

Lederen af Healthcare Security Division i Sydkoreas National Health Insurance Service har underslæbt 4,6 milliarder sydkoreanske won af offentlige midler og næsten mistet dem i kryptovaluta

Underslæb i National Health Insurance Service Ifølge SBS, den 16. juli, har lederen af finansafdelingen i National Health Insurance Service, som er ansvarlig for Sydkoreas universelle sundhedsforsikring, underslæbt 4,6 milliarder koreanske won

Latam Insights Encore: Det amerikanske senats våbenisering af Bitcoin-ejerskab bør vække bekymring

Velkommen til Latam Insights Encore En dybdegående analyse af Latinamerikas mest relevante økonomiske og kryptovaluta-nyheder fra den forgangne uge. Denne udgave undersøger, hvordan det amerikanske senat våbeniserer Bitcoin mod El Salvador i

Michigan by indfører præventive restriktioner på kryptovaluta-ATMs

Kryptovaluta-ATMs i Grosse Pointe Farms En by i Michigan, der ikke har nogen kryptovaluta-ATMs, har vedtaget en bekendtgørelse, der pålægger flere restriktioner på kioskerne og deres operatører med det formål at beskytte

Matrixport lancerer XAUm sikkerhedslåneprodukt, der udvider finansielle anvendelsesscenarier for guld-token

Matrixport lancerer XAUm sikkerhedslåneprodukt Matrixport annoncerede den officielle lancering af XAUm sikkerhedslåneproduktet den 16. juli. Dette produkt giver XAUm-indehavere mulighed for at pantsætte deres XAUm i Matrixport-appen for at låne USDC eller

OKX Wallet og Momentum lancerer xBTC incitamentskampagne: TVL steg til 140 millioner dollars på to uger

xBTC Incitamentskampagne xBTC incitamentskampagnen, lanceret af OKX Wallet og Momentum, har været aktiv i to uger med en samlet præmiepulje på 1 million dollars. Brugere kan indsætte xBTC-USDC og xBTC-SUI likviditetspair i

Block Earner lancerer Australiens første Bitcoin-understøttede boliglån

Block Earner Introducerer Bitcoin-understøttede Boliglån Block Earner, en fintech-virksomhed baseret i Sydney, tilbyder en ny måde for australiere at købe boliger uden at sælge deres Bitcoin. De lancerer Australiens første Bitcoin-understøttede boliglån,

Pantera Bitcoin ETF Noteres på HKEX den 18. Juli med Mulighed for Kontant eller In-Kind Oprettelse og Indløsning

Introduktion til Pantera Bitcoin ETF Pantera Limited (herefter omtalt som “Pantera”) har annonceret, at deres Pantera Bitcoin ETF (02818.HK) officielt vil debutere på Hong Kong Stock Exchange den 18. juli. Dette vil