BlockBeats News, 9 Maret, setelah tim 1inch menemukan kerentanan dalam kontrak pintar parser Fusion v1 warisannya pada 7 Maret, menyebabkan kerugian sekitar 2,4 juta USDC dan 1.276 WETH, dengan total lebih dari $5 juta. Satu-satunya hal yang dikompromikan adalah kontrak parser menggunakan Fusion v1. Menurut laporan post-mortem oleh tim keamanan Decurity, kerentanan ada dalam kode yang ditulis ulang dari Solidity ke Yul pada November 2022 dan tetap berada di sistem selama lebih dari dua tahun meskipun telah diaudit oleh beberapa tim keamanan. Setelah insiden tersebut, penyerang bertanya "Bisakah saya mendapatkan hadiah" melalui pesan on-chain, dan kemudian bernegosiasi dengan korban, TrustedVolumes. Setelah negosiasi yang berhasil, para penyerang mulai mengembalikan dana pada malam tanggal 5 Maret, dan akhirnya mengembalikan semua dana kecuali hadiah pada pukul 4:12 UTC pada tanggal 6 Maret. Decurity, sebagai bagian dari tim audit Fusion V1, melakukan investigasi internal atas insiden tersebut dan mempelajari beberapa pelajaran, termasuk mengklarifikasi model ancaman dan ruang lingkup audit, memerlukan waktu tambahan untuk perubahan kode selama audit, memvalidasi kontrak yang diterapkan, dan banyak lagi.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Peretasan 1inch telah mengembalikan sebagian besar dana, dan kerentanan kontrak parser telah ada selama lebih dari dua tahun
BlockBeats News, 9 Maret, setelah tim 1inch menemukan kerentanan dalam kontrak pintar parser Fusion v1 warisannya pada 7 Maret, menyebabkan kerugian sekitar 2,4 juta USDC dan 1.276 WETH, dengan total lebih dari $5 juta. Satu-satunya hal yang dikompromikan adalah kontrak parser menggunakan Fusion v1. Menurut laporan post-mortem oleh tim keamanan Decurity, kerentanan ada dalam kode yang ditulis ulang dari Solidity ke Yul pada November 2022 dan tetap berada di sistem selama lebih dari dua tahun meskipun telah diaudit oleh beberapa tim keamanan. Setelah insiden tersebut, penyerang bertanya "Bisakah saya mendapatkan hadiah" melalui pesan on-chain, dan kemudian bernegosiasi dengan korban, TrustedVolumes. Setelah negosiasi yang berhasil, para penyerang mulai mengembalikan dana pada malam tanggal 5 Maret, dan akhirnya mengembalikan semua dana kecuali hadiah pada pukul 4:12 UTC pada tanggal 6 Maret. Decurity, sebagai bagian dari tim audit Fusion V1, melakukan investigasi internal atas insiden tersebut dan mempelajari beberapa pelajaran, termasuk mengklarifikasi model ancaman dan ruang lingkup audit, memerlukan waktu tambahan untuk perubahan kode selama audit, memvalidasi kontrak yang diterapkan, dan banyak lagi.