BlockBeats News, 9 Maret, setelah tim 1inch menemukan kerentanan dalam kontrak pintar parser Fusion v1 warisannya pada 7 Maret, menyebabkan kerugian sekitar 2,4 juta USDC dan 1.276 WETH, dengan total lebih dari $5 juta. Satu-satunya hal yang dikompromikan adalah kontrak parser menggunakan Fusion v1. Menurut laporan post-mortem oleh tim keamanan Decurity, kerentanan ada dalam kode yang ditulis ulang dari Solidity ke Yul pada November 2022 dan tetap berada di sistem selama lebih dari dua tahun meskipun telah diaudit oleh beberapa tim keamanan. Setelah insiden tersebut, penyerang bertanya "Bisakah saya mendapatkan hadiah" melalui pesan on-chain, dan kemudian bernegosiasi dengan korban, TrustedVolumes. Setelah negosiasi yang berhasil, para penyerang mulai mengembalikan dana pada malam tanggal 5 Maret, dan akhirnya mengembalikan semua dana kecuali hadiah pada pukul 4:12 UTC pada tanggal 6 Maret. Decurity, sebagai bagian dari tim audit Fusion V1, melakukan investigasi internal atas insiden tersebut dan mempelajari beberapa pelajaran, termasuk mengklarifikasi model ancaman dan ruang lingkup audit, memerlukan waktu tambahan untuk perubahan kode selama audit, memvalidasi kontrak yang diterapkan, dan banyak lagi.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Peretasan 1inch telah mengembalikan sebagian besar dana, dan kerentanan kontrak parser telah ada selama lebih dari dua tahun
BlockBeats News, 9 Maret, setelah tim 1inch menemukan kerentanan dalam kontrak pintar parser Fusion v1 warisannya pada 7 Maret, menyebabkan kerugian sekitar 2,4 juta USDC dan 1.276 WETH, dengan total lebih dari $5 juta. Satu-satunya hal yang dikompromikan adalah kontrak parser menggunakan Fusion v1. Menurut laporan post-mortem oleh tim keamanan Decurity, kerentanan ada dalam kode yang ditulis ulang dari Solidity ke Yul pada November 2022 dan tetap berada di sistem selama lebih dari dua tahun meskipun telah diaudit oleh beberapa tim keamanan. Setelah insiden tersebut, penyerang bertanya "Bisakah saya mendapatkan hadiah" melalui pesan on-chain, dan kemudian bernegosiasi dengan korban, TrustedVolumes. Setelah negosiasi yang berhasil, para penyerang mulai mengembalikan dana pada malam tanggal 5 Maret, dan akhirnya mengembalikan semua dana kecuali hadiah pada pukul 4:12 UTC pada tanggal 6 Maret. Decurity, sebagai bagian dari tim audit Fusion V1, melakukan investigasi internal atas insiden tersebut dan mempelajari beberapa pelajaran, termasuk mengklarifikasi model ancaman dan ruang lingkup audit, memerlukan waktu tambahan untuk perubahan kode selama audit, memvalidasi kontrak yang diterapkan, dan banyak lagi.