Une enqu\u00eate men\u00e9e par Carbontec<\/strong> a mis en lumi\u00e8re le fait que plus de 520 000 $<\/strong> en tokens mal envoy\u00e9s ont \u00e9t\u00e9 discr\u00e8tement retir\u00e9s des routeurs 1inch v4 \u00e0 v6<\/strong> via des fonctions publiques, exposant ainsi un point aveugle de s\u00e9curit\u00e9<\/em> dans l’un des contrats DeFi les plus utilis\u00e9s.<\/p>\n La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 blockchain Carbontec a identifi\u00e9 une vuln\u00e9rabilit\u00e9 de conception significative<\/strong> dans le contrat intelligent du routeur d’agr\u00e9gation v6 de 1inch, un protocole DeFi cl\u00e9 qui facilite les \u00e9changes de tokens pour des millions d’utilisateurs. Le probl\u00e8me ? N’importe qui pouvait retirer des tokens envoy\u00e9s par erreur<\/strong> au contrat, et pas seulement le propri\u00e9taire.<\/p>\n Selon une exclusivit\u00e9 partag\u00e9e avec Bitcoin.com News, plus de 520 000 $ en crypto, dont 4,2 WBTC<\/strong> (environ 445 000 $) dans une seule transaction, ont \u00e9t\u00e9 d\u00e9plac\u00e9s par des acteurs non affili\u00e9s \u00e0 travers les versions 4, 5 et 6 du routeur.<\/p>\n<\/blockquote>\n La faille provient de fonctions de rappel accessibles au public<\/strong> et de la logique du routeur qui accepte des pools d’\u00e9change d\u00e9finis par l’utilisateur. Cela permet des transactions falsifi\u00e9es qui blanchissent effectivement les extractions de fonds<\/strong> sous le couvert d’une utilisation routini\u00e8re du protocole.<\/p>\n Plut\u00f4t que d’\u00eatre verrouill\u00e9s ou r\u00e9cup\u00e9rables uniquement par 1inch, les tokens mal envoy\u00e9s sont devenus un terrain de jeu<\/em> pour quiconque poss\u00e8de des connaissances techniques. Ce n’est pas un bug de codage, mais un compromis de conception<\/strong> visant \u00e0 \u00e9conomiser du gaz, qui a sous-estim\u00e9 le comportement des utilisateurs et surestim\u00e9 la s\u00e9curit\u00e9 du contrat par l’obscurit\u00e9.<\/p>\n Miroslav Baril, CTO de Carbontec, a partag\u00e9 quelques r\u00e9flexions issues de l’enqu\u00eate de l’entreprise. Ce n’est pas seulement un probl\u00e8me sp\u00e9cifique \u00e0 1inch ; c’est un point aveugle syst\u00e9mique<\/strong> qui pourrait \u00eatre pr\u00e9sent dans d’autres protocoles DeFi.<\/p>\n L’hypoth\u00e8se selon laquelle les tokens mal envoy\u00e9s sont soit irr\u00e9cup\u00e9rables, soit seulement r\u00e9cup\u00e9rables par les propri\u00e9taires de contrats cr\u00e9e un faux sentiment de s\u00e9curit\u00e9<\/strong>.<\/p>\n<\/blockquote>\n Les risques du monde r\u00e9el \u00e9mergent souvent non seulement des bugs dans le code, mais aussi des mod\u00e8les de conception<\/strong>. Les aspects critiques de la conception structurelle des protocoles doivent \u00eatre \u00e9quilibr\u00e9s avec la s\u00e9curit\u00e9 et la pr\u00e9vention des abus.<\/p>\n La recherche de Carbontec montre que ce probl\u00e8me affecte non seulement 1inch, mais potentiellement tout protocole DeFi qui accepte des entr\u00e9es de contrats externes ou expose des rappels d’\u00e9change internes. Avec des centaines de milliers de fonds d’utilisateurs siphonn\u00e9s discr\u00e8tement, l’enqu\u00eate soul\u00e8ve des questions pressantes sur la mani\u00e8re dont les protocoles DeFi g\u00e8rent les erreurs et qui a r\u00e9ellement acc\u00e8s aux fonds des utilisateurs.<\/p>\n","protected":false},"excerpt":{"rendered":" Vuln\u00e9rabilit\u00e9 dans les contrats DeFi de 1inch Une enqu\u00eate men\u00e9e par Carbontec a mis en lumi\u00e8re le fait que plus de 520 000 $ en tokens mal envoy\u00e9s ont \u00e9t\u00e9 discr\u00e8tement retir\u00e9s des routeurs 1inch v4 \u00e0 v6 via des fonctions publiques, exposant ainsi un point aveugle de s\u00e9curit\u00e9 dans l’un des contrats DeFi les plus utilis\u00e9s. Probl\u00e8me de conception La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 blockchain Carbontec a identifi\u00e9 une vuln\u00e9rabilit\u00e9 de conception significative dans le contrat intelligent du routeur d’agr\u00e9gation v6 de 1inch, un protocole DeFi cl\u00e9 qui facilite les \u00e9changes de tokens pour des millions d’utilisateurs. Le probl\u00e8me ?<\/p>\n","protected":false},"author":3,"featured_media":6918,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[2045,65,425],"class_list":["post-6919","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-1inch-network","tag-hack","tag-wrapped-bitcoin"],"yoast_description":"Carbontec r\u00e9v\u00e8le une exploitation de 520 000 $ dans la conception du routeur 1inch, mettant en lumi\u00e8re une vuln\u00e9rabilit\u00e9 qui permet des retraits non autoris\u00e9s de tokens via des fonctions publiques.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/6919","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=6919"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/6919\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/6918"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=6919"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=6919"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=6919"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Probl\u00e8me de conception<\/h2>\n
\n
Origine de la faille<\/h2>\n
R\u00e9flexions de Carbontec<\/h2>\n
\n