BlockBeats News, 9 de março, depois que a equipe de 1 polegada descobriu uma vulnerabilidade em seu contrato inteligente de analisador Fusion v1 legado em 7 de março, causando perdas de cerca de 2,4 milhões de USDC e 1.276 WETH, totalizando mais de US $ 5 milhões. A única coisa que está comprometida é o contrato do analisador usando o Fusion v1. De acordo com um relatório post-mortem da equipe de segurança da Decurity, a vulnerabilidade existia em código que foi reescrito de Solidity para Yul em novembro de 2022 e permaneceu no sistema por mais de dois anos, apesar de ter sido auditada por várias equipes de segurança. Após o incidente, o atacante pergunta "Posso obter uma recompensa" através de uma mensagem on-chain e, em seguida, negocia com a vítima, TrustedVolumes. Após negociações bem-sucedidas, os atacantes começaram a devolver os fundos na noite de 5 de março e, finalmente, devolveram todos os fundos, exceto a recompensa, às 4h12 UTC de 6 de março. A Decurity, como parte da equipe de auditoria do Fusion V1, conduziu uma investigação interna sobre o incidente e aprendeu várias lições, incluindo esclarecer o modelo de ameaça e o escopo da auditoria, exigir tempo adicional para alterações de código durante a auditoria, validar contratos implantados e muito mais.
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
O hack de 1 polegada devolveu a maioria dos fundos, e a vulnerabilidade do contrato do analisador existe há mais de dois anos
BlockBeats News, 9 de março, depois que a equipe de 1 polegada descobriu uma vulnerabilidade em seu contrato inteligente de analisador Fusion v1 legado em 7 de março, causando perdas de cerca de 2,4 milhões de USDC e 1.276 WETH, totalizando mais de US $ 5 milhões. A única coisa que está comprometida é o contrato do analisador usando o Fusion v1. De acordo com um relatório post-mortem da equipe de segurança da Decurity, a vulnerabilidade existia em código que foi reescrito de Solidity para Yul em novembro de 2022 e permaneceu no sistema por mais de dois anos, apesar de ter sido auditada por várias equipes de segurança. Após o incidente, o atacante pergunta "Posso obter uma recompensa" através de uma mensagem on-chain e, em seguida, negocia com a vítima, TrustedVolumes. Após negociações bem-sucedidas, os atacantes começaram a devolver os fundos na noite de 5 de março e, finalmente, devolveram todos os fundos, exceto a recompensa, às 4h12 UTC de 6 de março. A Decurity, como parte da equipe de auditoria do Fusion V1, conduziu uma investigação interna sobre o incidente e aprendeu várias lições, incluindo esclarecer o modelo de ameaça e o escopo da auditoria, exigir tempo adicional para alterações de código durante a auditoria, validar contratos implantados e muito mais.