«Хакер 1inch вернул большую часть украденных денег после получения вознаграждения»

• 1inch протокол подвергся серьезной атаке DeFi 5 марта 2025 года.
• Хакеры использовали уязвимость в старой версии контракта 1inch Settlement для получения средств.
• Уязвимость заключалась в повреждении данных при обработке суффикса заказа, позволяя атакующим заменить адрес разборщика и вызывать произвольные разборщики, что привело к убыткам для TrustedVolumes.
• Уязвимость была обнаружена в коде Solidity, переписанном на Yul в ноябре 2022 года и оставалась в системе более двух лет, несмотря на проверки несколькими аудиторами.
• После атаки хакер обратился к TrustedVolumes с вопросом о возможном вознаграждении, в результате чего были проведены переговоры.
• После успешных переговоров хакер начал возвращать средства 5 марта вечером, полностью возвратив все средства, за исключением вознаграждения, к 6 марта в 4:12 (UTC).
• Decurity, одна из команд Fusion V1 по аудиту, провела внутреннее расследование и выделила уроки, включая уточнение модели угроз и области аудита, дополнительное время на проверку изменений кода во время аудита, а также проверку развернутых контрактов.

Сообщение «Хакер 1inch вернул большую часть украденных денег после получения вознаграждения» появились сначала на КриптоВики.