Расследование уязвимости в 1inch
Расследование компании Carbontec выявило, что более $520,000 в ошибочно отправленных токенах были тихо выведены из 1inch Routers версий v4–v6 через публичные функции, что обнаружило слепую зону безопасности в одном из самых широко используемых смарт-контрактов в DeFi.
Уязвимость в смарт-контракте
Блокчейн-безопасностная компания Carbontec обнаружила значительную уязвимость в дизайне смарт-контракта Aggregation Router v6 от 1inch, ключевого протокола DeFi, который облегчает обмен токенов для миллионов пользователей. Проблема заключается в том, что любой мог вывести токены, ошибочно отправленные в контракт, а не только их владельцы.
Согласно эксклюзивной информации, предоставленной Bitcoin.com News, более $520,000 в криптовалюте, включая 4.2 WBTC (примерно $445K) в одной транзакции, были перемещены неаффилированными лицами через версии роутеров 4, 5 и 6.
Причины уязвимости
Уязвимость возникает из-за публично доступных функций обратного вызова и логики роутера, которая принимает пользовательские пуллы обмена. Это позволяет осуществлять поддельные транзакции, которые эффективно отмывают средства под предлогом рутинного использования протокола. Вместо того чтобы быть заблокированными или доступными только для 1inch, ошибочно отправленные токены стали легкой добычей для любого, кто обладает техническими знаниями.
Это не ошибка в коде, а компромисс в дизайне для экономии газа, который недооценил поведение пользователей и переоценил безопасность контракта через неясность.
Мнение эксперта
Мирослав Барил, технический директор Carbontec, поделился своими мыслями по результатам расследования компании:
«Это не только проблема 1inch; это системная слепая зона, которая может присутствовать и в других протоколах DeFi. Предположение, что ошибочно отправленные токены либо невозможно вернуть, либо могут быть возвращены только владельцами контрактов, создает ложное чувство безопасности.»
Выводы расследования
Исследование Carbontec показывает, что эта проблема затрагивает не только 1inch, но потенциально любой протокол DeFi, который принимает внешний ввод контрактов или открывает внутренние обратные вызовы обмена. С сотнями тысяч долларов пользовательских средств, тихо выведенных, расследование поднимает настоятельные вопросы о том, как протоколы DeFi обрабатывают ошибки и кто на самом деле имеет доступ к пользовательским средствам.
