A 1inch decentralizált tőzsdeaggregátor visszaszerezte az ellopott 5 millió dollár nagy részét egy nemrég történt biztonsági incidens után.
A hackerrel folytatott tárgyalások során megegyeztek, hogy a támadó egy részt megtarthat hibajutalomként.
A 1inch-hack, amely 2025. március 5-én történt, a Fusion v1 okosszerződés sebezhetőségéhez kapcsolódott. Elsősorban az elavult verziókat érintette.
A lopott pénz nagy részét visszaszerezték
A Decurity blokkláncbiztonsági cég felfedte, hogy a támadó egy visszahívási opció sérülékenységét használta ki az 1inch régi elszámolási szerződésében.
A hiba az utótag feldolgozásakor fellépő adatkárosodásból eredt. Ez lehetővé tette a hacker számára, hogy módosítsa az elemző címét és jogosulatlan tranzakciókat hajtson végre.
Az 1inch elleni támadás jelentős veszteségeket okozott a TrustedVolumes piacképző cégnek.
A SlowMist, egy másik blokkláncbiztonsági cég szerint a támadó körülbelül 2,4 millió USDC-t és 1276 Wrapped Ethert (WETH) vont ki.
Ezzel az összes ellopott összeg meghaladta az 5 millió dollárt. Azonban a hétköznapi felhasználók pénzeszközei érintetlenek maradtak. A 1inch biztosította felhasználóit, hogy csak a resolver entitások voltak érintettek.
A sérülékenység állítólag a korábbi biztonsági auditok ellenére is maradt még. 2022 novemberében a kódot Solidityből Yulra írták át, ekkor keletkezett a hiba. A sérülékenység mint két évig észrevétlen maradt a rendszerben.
A támadás után a hacker on-chain üzenetet küldött, és megkérdezte: „Can I have bounty?”. Ezután tárgyalásba kezdett a TrustedVolumes csapatával.
A támadó március 5-én este kezdte visszautalni az összeget, és március 6-án kora reggel befejezte a folyamatot, kivéve a megbeszélt jutalékot.
A 1inch biztonsági intézkedéseket vezet be a jövőbeli támadások megelőzésére
A biztonsági résre reagálva a 1inch gyorsan együttműködött az érintett feloldókkal a kockázatok csökkentése érdekében. Minden feloldónak javasolták az okosszerződéseik frissítését.
Emellett elindítottak egy hibavadász programot, hogy ösztönözzék az etikus hackereket a sebezhetőségek feltárására, mielőtt rosszindulatú szereplők kihasználnák azokat.
A 1inch-hack azonnali hatással volt a 1INCH tokenre, amely az esemény bejelentésekor több mint 5%-ot veszített értékéből.
Jelenleg körülbelül 0,227 dolláron kereskednek vele. Az elmúlt 24 órában a kereskedési volumene 35%-kal csökkent, most 16,42 millió dolláron áll.
Egy belső vizsgálat után a Decurity kiemelte az eset fő tanulságait. Szerintük szükség van a fenyegetési modellek finomítására, a jelentős kódmódosítások auditjának meghosszabbítására és a telepített szerződések alaposabb ellenőrzésére.
Olvastad már? A kriptopénzes átverés, ami majdnem sikerült: Hongkong hamis nemzeti tokenje
SZERETNÉD MEGKAPNI LEGFRISSEBB HÍREINKET? IRATKOZZ FEL HÍRLEVELÜNKRE!
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.