**Carbontec的一项调查显示,超过520,000美元的错误发送代币通过公共函数悄悄从1inch Routers v4–v6中提取,暴露了去中心化金融中最广泛使用的合约之一的安全盲点。**## 1inch 路由器设计缺陷导致错误发送资金的提取区块链安全公司Carbontec发现了1inch的聚合路由器v6智能合约中的一个重大设计漏洞,这是一项关键的去中心化金融协议,帮助数百万用户进行代币交换。问题在于?任何人都可以提取错误发送到该合约的代币,而不仅仅是所有者。根据与Bitcoin.com News共享的独家消息,超过520,000美元的加密货币被非关联方在路由器版本4、5和6之间转移,包括4.2 WBTC,(约445K)的一笔交易。该漏洞源于公开可访问的回调函数和路由器的逻辑,这些逻辑接受用户定义的交换池。这些允许伪造交易,实际上在常规协议使用的幌子下洗净资金提取。与其被锁定或仅能通过1inch检索,错误发送的代币变成了任何具有技术知识的人的公平游戏。这不是一个编码错误,而是一个节省燃料的设计权衡,低估了用户行为,并高估了通过模糊性带来的合约安全性。Carbontec的首席技术官Miroslav Baril分享了公司调查的一些想法。> > 这不仅仅是一个1英寸的问题;这是一个可能存在于其他去中心化金融协议中的系统性盲点。错误发送的代币要么无法找回,要么只能由合约拥有者恢复的假设,造成了一种虚假的安全感和保障感。现实世界的风险往往不仅来自代码中的漏洞,还来自设计模式。结构性协议设计的关键方面必须与安全性和误用防范相平衡。> > > Carbontec的研究表明,这个问题不仅影响1inch,可能还会影响任何接受外部合约输入或暴露内部交换回调的deFi协议。随着数十万用户资金悄然被 siphoned,调查提出了关于deFi协议如何处理错误以及谁真正能够访问用户资金的迫切问题。
Carbontec 在 1inch 路由器的救援功能中发现了 520,000 美元的漏洞路径
Carbontec的一项调查显示,超过520,000美元的错误发送代币通过公共函数悄悄从1inch Routers v4–v6中提取,暴露了去中心化金融中最广泛使用的合约之一的安全盲点。
1inch 路由器设计缺陷导致错误发送资金的提取
区块链安全公司Carbontec发现了1inch的聚合路由器v6智能合约中的一个重大设计漏洞,这是一项关键的去中心化金融协议,帮助数百万用户进行代币交换。问题在于?任何人都可以提取错误发送到该合约的代币,而不仅仅是所有者。
根据与Bitcoin.com News共享的独家消息,超过520,000美元的加密货币被非关联方在路由器版本4、5和6之间转移,包括4.2 WBTC,(约445K)的一笔交易。该漏洞源于公开可访问的回调函数和路由器的逻辑,这些逻辑接受用户定义的交换池。这些允许伪造交易,实际上在常规协议使用的幌子下洗净资金提取。
与其被锁定或仅能通过1inch检索,错误发送的代币变成了任何具有技术知识的人的公平游戏。这不是一个编码错误,而是一个节省燃料的设计权衡,低估了用户行为,并高估了通过模糊性带来的合约安全性。
Carbontec的首席技术官Miroslav Baril分享了公司调查的一些想法。
Carbontec的研究表明,这个问题不仅影响1inch,可能还会影响任何接受外部合约输入或暴露内部交换回调的deFi协议。随着数十万用户资金悄然被 siphoned,调查提出了关于deFi协议如何处理错误以及谁真正能够访问用户资金的迫切问题。