Carbontec afslører $520.000 udnyttelse i 1inch Routers designfejl

Fejlsendte Tokens i DeFi: En Alvorlig Sikkerhedsrisiko

En undersøgelse fra Carbontec har afsløret, at over $520.000 i fejlsendte tokens stille og roligt er blevet trukket tilbage fra 1inch Routers versioner 4 til 6 via offentlige funktioner. Dette afslører et sikkerhedshul i en af de mest anvendte kontrakter inden for DeFi.

Designfejl i 1inch’s Aggregation Router v6

Blockchain-sikkerhedsfirmaet Carbontec har opdaget en betydelig designfejl i 1inch’s Aggregation Router v6 smart contract, som er en central DeFi-protokol, der muliggør token swaps for millioner af brugere. Problemet? Enhver kan trække tokens tilbage, der fejlagtigt er sendt til kontrakten, ikke kun ejeren.

“Ifølge en eksklusiv rapport delt med Bitcoin.com News, blev mere end $520.000 værd af kryptovaluta, herunder 4,2 WBTC (ca. $445K) i én transaktion, flyttet af uafhængige aktører på tværs af routerversionerne 4, 5 og 6.”

Årsagen til Problemet

Fejlen stammer fra offentligt tilgængelige callback-funktioner og routerens logik, der accepterer brugerdefinerede swap-pools. Disse muliggør spoofede transaktioner, der effektivt vasker pengeudtræk under dække af rutinemæssig protokolbrug. I stedet for at være låst eller kun kunne hentes af 1inch, blev fejlsendte tokens tilgængelige for alle med teknisk viden.

Dette er ikke en kodningsfejl, men et gasbesparende designkompromis, der undervurderede brugeradfærd og overvurderede kontraktens sikkerhed gennem uklarhed.

Systemisk Blindpunkt i DeFi

Miroslav Baril, CTO hos Carbontec, delte nogle tanker fra virksomhedens undersøgelse. Dette er ikke kun et problem for 1inch; det er et systemisk blindpunkt, der kunne være til stede i andre DeFi-protokoller. Antagelsen om, at fejlsendte tokens enten er uoprettelige eller kun kan genvindes af kontraktejere, skaber en falsk følelse af sikkerhed.

“Virkelige risici opstår ofte ikke kun fra fejl i koden, men også fra designmønstre. Kritiske aspekter af strukturel protokoldesign skal balanceres med sikkerhed og forebyggelse af misbrug.”

Konklusion

Carbontecs forskning viser, at dette problem ikke kun påvirker 1inch, men potentielt enhver DeFi-protokol, der accepterer ekstern kontraktinput eller udsætter interne swap-callbacks. Med hundredtusinder af brugerfunde stille og roligt siphoned off, rejser undersøgelsen presserende spørgsmål om, hvordan DeFi-protokoller håndterer fejl, og hvem der virkelig har adgang til brugerfunde.

Relaterede indlæg

Seneste fra Blog

Moscow Exchange lancerer Ethereum futures indeksfond

Moscow Exchange lancerer Ethereum fond Moscow Exchange har annonceret, at de vil lancere en fond, der følger en af verdens største Ethereum ETF’er, blot få uger efter at have debuteret med et

Lutnicks Cantor Fitzgerald nærmer sig $4 mia. Bitcoin-aftale med Adam Back via SPAC: FT

Brandon Lutnick i Forhandlinger om Bitcoin-Aftale Financial Times (FT) rapporterer, at Brandon Lutnick er i avancerede forhandlinger med Blockstream-grundlægger Adam Back om en aftale til cirka $4 milliarder for at erhverve bitcoin

GENIUS Act og Clarity Act: Fremskridt Stoppet af 12 Republikanere

Blokering af Vigtig Procedureafstemning Tolv republikanere i Repræsentanternes Hus blokerede en vigtig procedureafstemning tirsdag, hvilket forsinkede finansieringen af Pentagon og lovgivningen om kryptovaluta. The Hill rapporterede, at Husets afstemning om at påbegynde

Eksistentiel Trussel: Bitcoin-forslag ville fryse Satoshis kvante-sårbare mønter

Forslag til opgradering af Bitcoin for at imødegå kvantecomputere Jameson Lopp, CTO og medstifter af selvopbevaringsservicen Casa, foreslog tirsdag en ændring af Bitcoins software for at imødegå kvantecomputers katastrofale potentiale. Forslaget, som

Legacy Finance Opdager Stablecoins: JPMorgan og Citigroup Overvejer Markedsindtræden

JPMorgan Chase og Stablecoins JPMorgan Chase, den største bank i USA med aktiver på 3,6 billioner dollars, har planer om “at være involveret i stablecoins,” sagde CEO Jamie Dimon tirsdag under en

Crypto Markedsstruktur: Lovforslag kan true DeFi i USA, advarer brancheledere

DeFi-eksperters bekymringer om CLARITY Act DeFi-politikeksperter og brancheledere går nu i offensiven mod Husets lovforslag om kryptovaluta-markedsstruktur, kaldet CLARITY Act, blot få timer før den banebrydende lovgivning skal til afstemning. Efter måneders

Trump opfordrer til vedtagelse af GENIUS-loven tirsdag, på trods af rapporter om senere afstemning

Trump Opfordrer til Afstemning om Stablecoin Lovgivning Den amerikanske præsident Donald Trump opfordrer republikanerne i Repræsentanternes Hus til at “få den første afstemning gennemført i eftermiddag” om et lovforslag, der skal regulere

Programmable Regulation: The Missing Key to DeFi’s Legal Future

Udfordringer ved Regulering af DeFi At styre komplekse, grænseløse og programmerbare økosystemer med regler designet til enkle, statiske finansielle systemer præsenterer en grundlæggende udfordring. I det forgangne år har decentraliserede finansierings (DeFi)

MiCA: En velsignelse i forklædning for EU-krypto investorer og børser

Indledning På trods af indledende bekymringer om dens indvirkning på den europæiske kryptoindustri, viser reguleringen af Markets in Crypto-Assets (MiCA) sig at være en fordel for både krypto-kunder og børser. EU’s første

4 lande der lader dig købe statsborgerskab eller et gyldent visum med kryptovaluta

Nøglepunkter Vanuatu er et af de hurtigste lande til at tilbyde statsborgerskab, med kryptovaluta accepteret gennem licenserede agenter. Dominica og Saint Lucia tilbyder caribisk statsborgerskab på få måneder ved hjælp af kryptovaluta