Tin tặc 1inch đã trả lại hầu hết số tiền, lỗ hổng hợp đồng phân tích cú pháp đã tồn tại hơn hai năm

BlockBeats đưa tin vào ngày 9 tháng 3 rằng nhóm 1inch đã phát hiện ra lỗ hổng trong phiên bản cũ của hợp đồng thông minh phân tích cú pháp Fusion v1 vào ngày 7 tháng 3, gây ra thiệt hại khoảng 2,4 triệu USDC và 1.276 WETH, tổng cộng hơn 5 triệu đô la Mỹ. Đối tượng bị xâm phạm duy nhất là các hợp đồng giải quyết sử dụng Fusion v1.

Theo báo cáo sau điều tra của nhóm bảo mật Decurity, lỗ hổng tồn tại trong mã được viết lại từ Solidity sang Yul vào tháng 11 năm 2022. Bất chấp các cuộc kiểm tra của nhiều nhóm bảo mật, lỗ hổng vẫn tồn tại trong hệ thống trong hơn hai năm. Sau sự cố, kẻ tấn công đã hỏi qua tin nhắn trên chuỗi: "Tôi có thể nhận được tiền thưởng không?" và sau đó thương lượng với nạn nhân, TrustedVolumes. Sau khi đàm phán thành công, kẻ tấn công đã bắt đầu trả lại tiền vào tối ngày 5 tháng 3 và cuối cùng đã trả lại toàn bộ số tiền trừ tiền thưởng vào lúc 4:12 sáng (UTC) ngày 6 tháng 3.

Là một trong những nhóm kiểm tra Fusion V1, Security đã tiến hành một cuộc điều tra nội bộ về sự cố này và tóm tắt một số bài học, bao gồm làm rõ mô hình mối đe dọa và phạm vi kiểm tra, yêu cầu thêm thời gian để thay đổi mã trong quá trình kiểm tra và xác minh các hợp đồng đã triển khai.