BlockBeats News、3月9日、1inchチームが従来のFusion v1パーサースマートコントラクトの脆弱性を発見し、約240万USDCと1,276WETH、合計500万ドル以上の損失を引き起こした後、3月9日。 唯一危険にさらされているのは、Fusion v1 を使用したパーサー コントラクトです。 Decurityセキュリティチームによる事後報告によると、この脆弱性は2022年11月にSolidityからYulに書き換えられたコードに存在し、複数のセキュリティチームによる監査を受けたにもかかわらず、2年以上にわたってシステムに残っていました。 インシデント後、攻撃者はオンチェーンメッセージで「報奨金をもらえますか」と尋ね、被害者であるTrustedVolumesと交渉します。 交渉が成功した後、攻撃者は 3 月 5 日の夜に資金の返還を開始し、最終的に 3 月 6 日午前 4 時 12 分 (UTC) に報奨金を除くすべての資金を返還しました。 Decurityは、Fusion V1監査チームの一員として、インシデントの内部調査を実施し、脅威モデルと監査範囲の明確化、監査中のコード変更のための追加時間の必要性、デプロイされたコントラクトの検証など、いくつかの教訓を学びました。
1inchのハッキングはほとんどの資金を返還しており、パーサー契約の脆弱性は2年以上前から存在していました
BlockBeats News、3月9日、1inchチームが従来のFusion v1パーサースマートコントラクトの脆弱性を発見し、約240万USDCと1,276WETH、合計500万ドル以上の損失を引き起こした後、3月9日。 唯一危険にさらされているのは、Fusion v1 を使用したパーサー コントラクトです。 Decurityセキュリティチームによる事後報告によると、この脆弱性は2022年11月にSolidityからYulに書き換えられたコードに存在し、複数のセキュリティチームによる監査を受けたにもかかわらず、2年以上にわたってシステムに残っていました。 インシデント後、攻撃者はオンチェーンメッセージで「報奨金をもらえますか」と尋ね、被害者であるTrustedVolumesと交渉します。 交渉が成功した後、攻撃者は 3 月 5 日の夜に資金の返還を開始し、最終的に 3 月 6 日午前 4 時 12 分 (UTC) に報奨金を除くすべての資金を返還しました。 Decurityは、Fusion V1監査チームの一員として、インシデントの内部調査を実施し、脅威モデルと監査範囲の明確化、監査中のコード変更のための追加時間の必要性、デプロイされたコントラクトの検証など、いくつかの教訓を学びました。