1inch駭客已歸還大部分資金，解析器合約漏洞存在超兩年

BlockBeats 訊息，3 月 9 日，先前 3 月 7 日 1inch 團隊發現其舊版 Fusion v1 解析器智慧合約有漏洞，造成約 240 萬 USDC 和 1276 WETH 損失，總計超過 500 萬美元。受損物件僅為使用 Fusion v1 的解析器合約。

根據 Decurity 安全團隊的事後調查報告，該漏洞存在於 2022 年 11 月從 Solidity 重寫為 Yul 的代碼中，儘管經過多家安全團隊審計，但該漏洞仍在系統中存在超過兩年。事件發生後，攻擊者透過鏈上訊息詢問「我能獲得賞金嗎」，隨後與受害方 TrustedVolumes 進行協商。談判成功後，攻擊者於 3 月 5 日晚間開始歸還資金，最終在 3 月 6 日凌晨 4:12（UTC 時間）歸還了除賞金外的全部資金。

Decurity 作為 Fusion V1 審計團隊之一，對此事件進行了內部調查，並總結了幾點教訓，包括明確威脅模型和審計範圍、對審計期間變更的代碼要求額外時間、驗證已部署合約等。

原文連結