Carbontec, 1inch Router'ın Kurtarma Fonksiyonunda 520.000 $'lık Sömürü Yolu Ortaya Çıkardı

Bir Carbontec araştırması, 1inch Router'ları v4–v6 üzerinden kamu işlevleri aracılığıyla yanlış gönderilen 520.000 $'dan fazla tokenin sessizce çekildiğini ortaya koydu ve bu, defi'nin en yaygın kullanılan sözleşmelerinden birinde bir güvenlik kör noktasını açığa çıkardı.

1inch Router'daki Tasarım Gözetimi, Yanlış Gönderilen Fonların Çekilmesine İzin Verdi

Blockchain güvenlik firması Carbontec, 1inch'in Aggregation Router v6 akıllı sözleşmesinde, milyonlarca kullanıcı için token takaslarını kolaylaştıran önemli bir defi protokolünde büyük bir tasarım açığı keşfetti. Sorun? Sözleşmeye yanlışlıkla gönderilen token'ları sadece sahibi değil, herkes geri çekebilir.

Bitcoin.com News ile paylaşılan özel bir bilgiye göre, 4.2 WBTC'nin dahil olduğu 520,000 $ değerinde kripto para, ( yaklaşık 445K) bir işlemde, bağımsız aktörler tarafından 4, 5 ve 6 numaralı yönlendirici sürümleri üzerinden taşındı. Hata, herkese açık erişime sahip geri çağırma fonksiyonlarından ve kullanıcı tanımlı takas havuzlarını kabul eden yönlendiricinin mantığından kaynaklanıyor. Bu, rutin protokol kullanımının kılığına girmiş fon çıkarımlarını etkili bir şekilde aklamaya olanak tanıyan sahte işlemlere imkan veriyor.

1inch tarafından kilitlenmekte veya yalnızca geri alınmakta yerine, yanlış gönderilen tokenler, teknik bilgiye sahip herkes için adil bir hedef haline geldi. Bu bir kodlama hatası değil, kullanıcı davranışını küçümseyen ve sözleşme güvenliğini belirsizlik üzerinden abartan bir gaz tasarrufu tasarım takasıdır.

Carbontec'teki CTO Miroslav Baril, şirketin araştırmasından bazı düşünceler paylaştı.

Bu sadece 1 inçlik bir sorun değil; başka defi protokollerinde de mevcut olabilecek sistemik bir göz ardı etme durumudur. Yanlış gönderilen tokenların ya geri alınamaz ya da yalnızca sözleşme sahipleri tarafından kurtarılabilir olduğu varsayımı, yanlış bir güven ve emniyet hissi yaratmaktadır. Gerçek dünya riskleri yalnızca koddaki hatalardan değil, aynı zamanda tasarım kalıplarından da ortaya çıkabilir. Yapısal protokol tasarımının kritik yönleri, güvenlik ve kötüye kullanımı önleme ile dengelenmelidir.

Carbontec'in araştırması, bu sorunun yalnızca 1inch'i değil, potansiyel olarak dış sözleşme girişi kabul eden veya dahili takas geri çağırmalarını açığa çıkaran herhangi bir defi protokolünü etkilediğini gösteriyor. Kullanıcı fonlarından yüz binlerce doları sessizce siphonlayan bu soruşturma, defi protokollerinin hataları nasıl ele aldığını ve gerçekten kullanıcı fonlarına kimin erişimi olduğunu sorgulayan acil sorular ortaya çıkarıyor.