Carbontec Avslöjar $520,000 Utnyttjande i 1inch Routers Räddningsfunktion

Undersökning av Carbontec

En undersökning av Carbontec har avslöjat att över $520,000 i felaktigt skickade tokens tyst drogs tillbaka från 1inch Routers versioner v4–v6 via offentliga funktioner, vilket blottlade en säkerhetsbrist i ett av DeFi:s mest använda kontrakt.

Designsvaghet i 1inch:s Aggregation Router

Blockchain-säkerhetsföretaget Carbontec har identifierat en betydande designsvaghet i 1inch:s Aggregation Router v6 smarta kontrakt, ett centralt DeFi-protokoll som underlättar tokenbyten för miljontals användare. Problemet? Vem som helst kunde ta ut tokens som felaktigt skickats till kontraktet, inte bara ägaren.

Överföring av medel

Enligt en exklusiv rapport som delades med Bitcoin.com News, flyttades mer än $520,000 i kryptovaluta, inklusive 4.2 WBTC (ungefär $445K) i en transaktion, av orelaterade aktörer över routerversionerna 4, 5 och 6. Felet härstammar från offentligt tillgängliga callback-funktioner och routerlogiken som accepterar användardefinierade swap-pooler.

Förfalskade transaktioner

Dessa möjliggör förfalskade transaktioner som effektivt tvättar uttag av medel under förevändningen av rutinmässig protokollanvändning. Istället för att vara låsta eller endast återvinningsbara av 1inch, blev felaktigt skickade tokens fritt spel för alla med teknisk kunskap.

Designavvägningar och säkerhet

Detta är inte en kodbugg, utan en gasbesparande designavvägning som underskattade användarbeteende och överskattade kontraktssäkerhet genom oklarhet. Miroslav Baril, CTO på Carbontec, delade några insikter från företagets undersökning.

”Detta är inte bara ett problem för 1inch; det är en systematisk brist som kan förekomma i andra DeFi-protokoll.”

Falsk känsla av säkerhet

Antagandet att felaktigt skickade tokens antingen är oåterkalleliga eller endast kan återställas av kontraktsägarna skapar en falsk känsla av säkerhet. Verkliga risker uppstår ofta inte bara från buggar i koden utan också från designmönster.

Kritiska aspekter av protokolldesign

Kritiska aspekter av strukturell protokolldesign måste balanseras med säkerhet och förebyggande av missbruk. Carbontecs forskning visar att detta problem påverkar inte bara 1inch, utan potentiellt vilket DeFi-protokoll som helst som accepterar extern kontraktsinmatning eller exponerar interna swap-callbacks.

Pressande frågor om DeFi-protokoll

Med hundratusentals i användarfonder tyst avledda väcker undersökningen pressande frågor om hur DeFi-protokoll hanterar fel och vem som verkligen har tillgång till användarfonder.

Relaterade inlägg

Senaste från Blog

IRS Kartlägger Plånboksaktivitet Över Kedjor – Expert Varnar För Kommande Rapportering

Varning för kryptohandlare om 1099-DA En skatteexpert har varnat handlare, särskilt de som verkar diskret, om det kommande kravet att lämna in formulär 1099-DA som träder i kraft 2026. Experten betonar vikten

Bitlayer har släppt sin senaste produktplan, dedikerad till att bygga den ultimata Bitcoin DeFi-infrastrukturen

Bitlayer-projektets lanseringsevent Bitlayer-projektet har officiellt släppt en video från sommarens lanseringsevent, som fokuserar på Bitcoin DeFi-infrastruktur. Evenemanget, med temat ”Den Ultimata Bitcoin DeFi-Infrastrukturen”, såg projektets medgrundare Kevin He och Charlie Hu systematiskt

Chef för Healthcare Security Division vid Sydkoreas National Health Insurance Service embezzlerade 4,6 miljarder won av offentliga medel och förlorade nästan allt i kryptovalutahandel

Embezzlering inom National Health Insurance Service Enligt SBS, den 16 juli, embezzlerade chefen för finansavdelningen vid National Health Insurance Service, som ansvarar för Sydkoreas universella sjukförsäkring, 4,6 miljarder koreanska won i offentliga

Latam Insights Encore: US Senatens vapenisering av Bitcoin-ägande väcker oro

Välkommen till Latam Insights Encore En djupdykning i Latinamerikas mest aktuella ekonomiska och kryptonyheter från den senaste veckan. I denna utgåva utforskar vi hur den amerikanska senaten vapeniserar bitcoin i relation till

Michiganstad inför förebyggande begränsningar på kryptovaluta-ATMer

Kryptovaluta-ATMer i Grosse Pointe Farms En stad i Michigan, som för närvarande inte har några kryptovaluta-ATMer, har antagit en förordning som inför flera restriktioner för kioskerna och deras operatörer, med syftet att

Matrixport lanserar säkerställd låneprodukt för guldtoken XAUm och utökar dess finansiella användningsområden

Matrixport lanserar säkerställd låneprodukt för XAUm Matrixport meddelade den officiella lanseringen av en säkra låneprodukt för guldtoken XAUm den 16 juli. Denna produkt gör det möjligt för XAUm-innehavare att pantsätta sina XAUm

OKX Wallet och Momentum lanserar xBTC incitamentskampanj – TVL ökar till 140 miljoner dollar på två veckor

xBTC Incitamentskampanj xBTC incitamentskampanjen, som lanserades av OKX Wallet och Momentum, har varit aktiv i två veckor och erbjuder en total prispott på 1 miljon US-dollar. Bidrag och Belöningar Användare kan bidra

Block Earner lanserar Australiens första Bitcoin-backade bolån

Block Earner Introducerar Bitcoin-backade Bolån Block Earner, en fintech-baserad i Sydney som erbjuder kryptovalutaavkastning och betalningsprodukter, presenterar ett nytt sätt för australiensare att köpa hem utan att behöva sälja sin Bitcoin. Företaget

Pantera Bitcoin ETF lanseras på HKEX den 18 juli med möjlighet till kontant eller in-kind skapande och inlösen

Pantera Bitcoin ETF Debuterar i Hongkong Pantera Limited (hädanefter kallad ”Pantera”) har meddelat att deras Pantera Bitcoin ETF (02818.HK) officiellt kommer att debutera på Hong Kong Stock Exchange den 18 juli. Detta

Moscow Exchange lanserar Ethereum-futures indexfond

Moscow Exchange lanserar Ethereum fond Moscow Exchange meddelar att de kommer att lansera en fond som följer en av världens största Ethereum ETF:er, bara veckor efter att ha debuterat med ett Bitcoin-index