本站 消息,3 月 9 日,此前 3 月 7 日 1inch 團(tuán)隊發(fā)現(xiàn)其舊版 Fusion v1 解析器智能合約存在漏洞,造成約 240 萬 USDC 和 1276 WETH 損失,總計超過 500 萬美元。受損對象僅為使用 Fusion v1 的解析器合約。
根據(jù) Decurity 安全團(tuán)隊的事后調(diào)查報告,該漏洞存在于 2022 年 11 月從 Solidity 重寫為 Yul 的代碼中,盡管經(jīng)過多家安全團(tuán)隊審計,但該漏洞仍在系統(tǒng)中存在超過兩年。事件發(fā)生后,攻擊者通過鏈上消息詢問「我能獲得賞金嗎」,隨后與受害方 TrustedVolumes 進(jìn)行協(xié)商。談判成功后,攻擊者于 3 月 5 日晚間開始?xì)w還資金,最終在 3 月 6 日凌晨 4:12(UTC 時間)歸還了除賞金外的全部資金。
Decurity 作為 Fusion V1 審計團(tuán)隊之一,對此事件進(jìn)行了內(nèi)部調(diào)查,并總結(jié)了幾點(diǎn)教訓(xùn),包括明確威脅模型和審計范圍、對審計期間變更的代碼要求額外時間、驗(yàn)證已部署合約等。
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
