Атака на устаревший смарт-контракт 1inch: $5 млн на грани потери, но хакер вернул активы и получил вознаграждение

5 марта команда 1inch обнаружила уязвимость в устаревшем смарт-контракте Fusion v1. Данная проблема привела к убыткам в размере 2,4 миллиона USDT и 1276 wETH (примерно $2,7 миллиона), согласно информации компании SlowMist.

Аналитики зафиксировали подозрительные транзакции, связанные с этой платформой в тот же день.

Представители 1inch заверили, что средства обычных пользователей остались в безопасности. Инцидент затронул только парсеры, использующие Fusion v1.

«Мы активно работаем с пострадавшими сторонами для защиты их систем. Призываем разработчиков незамедлительно проверить свои контракты и внести в них изменения», — отмечается в предупреждении.

Компания Decurity выпустила анализ инцидента, охарактеризовав его как «одну из самых сложных атак на DeFi».

Согласно отчету, старая версия 1inch Settlement обладала функцией обратного вызова, предназначенной для исполнения всех совпадающих ордеров.

«Callback-функция должна была вызываться только в случае исполнения ордера самим контрактом резолвера. Однако, из-за ошибки в обработке аргументов при парсинге суффикса ордера стало возможным перезаписать адрес контракта резолвера и осуществить вызов к любому из них. Это привело к потерям у маркетмейкера TrustedVolumes», — пояснили специалисты.

5 марта злоумышленник запросил у пострадавшей стороны вознаграждение и достиг согласия о выплате $450,000 в качестве вознаграждения. Остальная сумма вернулась к маркетмейкеру.

Напоминаем, что в феврале индустрия понесла потери на сумму $1,53 миллиарда, как сообщили эксперты Immunefi, что связано с взломом биржи Bybit на сумму почти в $1,5 миллиарда.