Penyelidikan Carbontec Mengungkap Kerentanan di 1inch Routers
Sebuah penyelidikan oleh Carbontec mengungkapkan bahwa lebih dari $520,000 dalam token yang salah kirim telah diam-diam ditarik dari 1inch Routers versi 4 hingga 6 melalui fungsi publik, yang mengekspos titik buta keamanan dalam salah satu kontrak DeFi yang paling banyak digunakan.
Perusahaan keamanan blockchain Carbontec telah menemukan kerentanan desain yang signifikan dalam kontrak pintar Aggregation Router v6 milik 1inch, sebuah protokol DeFi kunci yang memfasilitasi pertukaran token untuk jutaan pengguna. Masalahnya? Siapa pun dapat menarik token yang secara keliru dikirim ke kontrak, bukan hanya pemiliknya.
Detail Penemuan Kerentanan
Menurut informasi eksklusif yang dibagikan dengan Bitcoin.com News, lebih dari $520,000 dalam bentuk cryptocurrency, termasuk 4.2 WBTC (sekitar $445K) dalam satu transaksi, dipindahkan oleh aktor yang tidak terafiliasi di seluruh versi router 4, 5, dan 6. Kerentanan ini berasal dari fungsi callback yang dapat diakses publik dan logika router yang menerima kolam swap yang ditentukan pengguna.
Ini memungkinkan transaksi yang dipalsukan yang secara efektif mencuri dana di bawah kedok penggunaan protokol rutin. Alih-alih terkunci atau hanya dapat diambil kembali oleh 1inch, token yang salah kirim menjadi sasaran yang sah bagi siapa saja yang memiliki pengetahuan teknis.
Analisis Desain dan Keamanan
Ini bukan bug dalam kode, tetapi kompromi desain yang menghemat gas dan meremehkan perilaku pengguna serta melebih-lebihkan keamanan kontrak melalui ketidakjelasan. Miroslav Baril, CTO di Carbontec, membagikan beberapa pemikiran dari penyelidikan perusahaan:
“Ini bukan hanya masalah 1inch; ini adalah titik buta sistemik yang mungkin ada di seluruh protokol DeFi lainnya. Anggapan bahwa token yang salah kirim tidak dapat diambil kembali atau hanya dapat dipulihkan oleh pemilik kontrak menciptakan rasa aman dan perlindungan yang salah. Risiko dunia nyata sering muncul tidak hanya dari bug dalam kode tetapi juga dari pola desain. Aspek kritis dari desain protokol struktural harus seimbang dengan keamanan dan pencegahan penyalahgunaan.”
Implikasi untuk Protokol DeFi
Penelitian Carbontec menunjukkan bahwa masalah ini tidak hanya mempengaruhi 1inch, tetapi berpotensi juga protokol DeFi mana pun yang menerima input kontrak eksternal atau mengekspos callback swap internal. Dengan ratusan ribu dana pengguna yang diam-diam disedot, penyelidikan ini mengangkat pertanyaan mendesak tentang bagaimana protokol DeFi menangani kesalahan dan siapa yang sebenarnya memiliki akses ke dana pengguna.
