BlockBeats News, ngày 9 tháng 3, sau khi nhóm 1inch phát hiện ra lỗ hổng trong hợp đồng thông minh phân tích cú pháp Fusion v1 cũ của mình vào ngày 7 tháng 3, gây ra tổn thất khoảng 2,4 triệu USDC và 1.276 WETH, tổng cộng hơn 5 triệu đô la. Điều duy nhất bị xâm phạm là hợp đồng phân tích cú pháp sử dụng Fusion v1. Theo báo cáo sau khi khám nghiệm tử thi của nhóm bảo mật Decurity, lỗ hổng tồn tại trong mã được viết lại từ Solidity thành Yul vào tháng 11 năm 2022 và tồn tại trong hệ thống hơn hai năm mặc dù đã được kiểm toán bởi nhiều nhóm bảo mật. Sau sự cố, kẻ tấn công hỏi "Tôi có thể nhận tiền thưởng không" thông qua một tin nhắn trên chuỗi, và sau đó thương lượng với nạn nhân, TrustedVolumes. Sau khi đàm phán thành công, những kẻ tấn công bắt đầu trả lại tiền vào tối ngày 5 tháng 3 và cuối cùng trả lại tất cả các khoản tiền ngoại trừ tiền thưởng vào lúc 4:12 sáng UTC ngày 6 tháng 3. Decurity, với tư cách là một phần của nhóm kiểm toán Fusion V1, đã tiến hành điều tra nội bộ về sự cố và rút ra một số bài học, bao gồm làm rõ mô hình mối đe dọa và phạm vi kiểm tra, yêu cầu thêm thời gian thay đổi mã trong quá trình kiểm toán, xác thực các hợp đồng đã triển khai, v.v.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Vụ hack 1inch đã trả lại hầu hết số tiền và lỗ hổng hợp đồng phân tích cú pháp đã tồn tại hơn hai năm
BlockBeats News, ngày 9 tháng 3, sau khi nhóm 1inch phát hiện ra lỗ hổng trong hợp đồng thông minh phân tích cú pháp Fusion v1 cũ của mình vào ngày 7 tháng 3, gây ra tổn thất khoảng 2,4 triệu USDC và 1.276 WETH, tổng cộng hơn 5 triệu đô la. Điều duy nhất bị xâm phạm là hợp đồng phân tích cú pháp sử dụng Fusion v1. Theo báo cáo sau khi khám nghiệm tử thi của nhóm bảo mật Decurity, lỗ hổng tồn tại trong mã được viết lại từ Solidity thành Yul vào tháng 11 năm 2022 và tồn tại trong hệ thống hơn hai năm mặc dù đã được kiểm toán bởi nhiều nhóm bảo mật. Sau sự cố, kẻ tấn công hỏi "Tôi có thể nhận tiền thưởng không" thông qua một tin nhắn trên chuỗi, và sau đó thương lượng với nạn nhân, TrustedVolumes. Sau khi đàm phán thành công, những kẻ tấn công bắt đầu trả lại tiền vào tối ngày 5 tháng 3 và cuối cùng trả lại tất cả các khoản tiền ngoại trừ tiền thưởng vào lúc 4:12 sáng UTC ngày 6 tháng 3. Decurity, với tư cách là một phần của nhóm kiểm toán Fusion V1, đã tiến hành điều tra nội bộ về sự cố và rút ra một số bài học, bao gồm làm rõ mô hình mối đe dọa và phạm vi kiểm tra, yêu cầu thêm thời gian thay đổi mã trong quá trình kiểm toán, xác thực các hợp đồng đã triển khai, v.v.