Pagsisiyasat sa 1inch Routers
Isang pagsisiyasat mula sa Carbontec ang nagbunyag na mahigit $520,000 na maling naipadalang mga token ay tahimik na na-withdraw mula sa 1inch Routers v4–v6 sa pamamagitan ng mga pampublikong function, na naglalantad ng isang blind spot sa seguridad sa isa sa mga pinaka-ginagamit na kontrata sa DeFi.
Kahinaan sa Disenyo ng Smart Contract
Natutuklasan ng blockchain security firm na Carbontec ang isang makabuluhang kahinaan sa disenyo ng smart contract ng 1inch’s Aggregation Router v6, isang pangunahing DeFi protocol na nagpapadali ng token swaps para sa milyun-milyong mga gumagamit. Ang isyu? Sinuman ay maaaring mag-withdraw ng mga token na maling naipadala sa kontrata, hindi lamang ang may-ari.
Mga Detalye ng Pagsisiyasat
Ayon sa isang eksklusibong ulat na ibinahagi sa Bitcoin.com News, mahigit $520,000 na halaga ng crypto, kabilang ang 4.2 WBTC (humigit-kumulang $445K) sa isang transaksyon, ay inilipat ng mga hindi kaugnay na aktor sa mga bersyon ng router 4, 5, at 6.
Ang depekto ay nagmumula sa mga pampublikong accessible na callback functions at sa lohika ng router na tumatanggap ng user-defined swap pools. Ang mga ito ay nagpapahintulot para sa mga spoofed na transaksyon na epektibong naglilinis ng mga pagkuha ng pondo sa ilalim ng anyo ng karaniwang paggamit ng protocol.
Mga Panganib at Blind Spots
Sa halip na ma-lock o ma-retrieve lamang ng 1inch, ang mga maling naipadalang token ay naging bukas na laro para sa sinumang may teknikal na kaalaman. Ito ay hindi isang coding bug, kundi isang gas-saving na tradeoff sa disenyo na hindi nakapagpahalaga sa pag-uugali ng gumagamit at labis na nagbigay ng tiwala sa kaligtasan ng kontrata sa pamamagitan ng obscurity.
Pananaw mula sa Carbontec
Ibinahagi ni Miroslav Baril, CTO ng Carbontec, ang ilang mga pananaw mula sa pagsisiyasat ng kumpanya. Ito ay hindi lamang isang isyu ng 1inch; ito ay isang sistematikong blind spot na maaaring naroroon sa iba pang mga DeFi protocol.
Ang palagay na ang mga maling naipadalang token ay hindi maibabalik o maaari lamang ma-recover ng mga may-ari ng kontrata ay lumilikha ng maling pakiramdam ng seguridad at kaligtasan. Ang mga tunay na panganib sa mundo ay kadalasang lumilitaw hindi lamang mula sa mga bug sa code kundi pati na rin mula sa mga disenyo ng pattern.
Konklusyon
Ang mga kritikal na aspeto ng disenyo ng structural protocol ay dapat na balansehin sa seguridad at pag-iwas sa maling paggamit. Ipinapakita ng pananaliksik ng Carbontec na ang isyung ito ay hindi lamang nakakaapekto sa 1inch, kundi potensyal na anumang DeFi protocol na tumatanggap ng panlabas na input ng kontrata o naglalantad ng mga internal swap callbacks. Sa daan-daang libong pondo ng gumagamit na tahimik na na-siphon off, ang pagsisiyasat ay nag-uangat ng mga kagyat na katanungan tungkol sa kung paano hinaharap ng mga DeFi protocol ang mga pagkakamali at kung sino talaga ang may access sa mga pondo ng gumagamit.
