تكتشف Carbontec مسار استغلال بقيمة 520,000 دولار في وظيفة إنقاذ جهاز التوجيه 1inch

أظهرت تحقيقات Carbontec أن أكثر من 520,000 دولار من الرموز المرسلة بالخطأ تم سحبها بهدوء من 1inch Routers v4–v6 عبر وظائف عامة، مما كشف عن نقطة ضعف أمنية في واحدة من العقود الأكثر استخدامًا في التمويل اللامركزي.

الإشراف على التصميم في 1inch Router سمح بسحب الأموال المرسلة بالخطأ

اكتشفت شركة الأمن السيبراني Blockchain Carbontec ثغرة تصميم كبيرة في العقد الذكي لمجمع 1inch v6، وهو بروتوكول رئيسي في التمويل اللامركزي يسهل تبادل الرموز لملايين المستخدمين. المشكلة؟ يمكن لأي شخص سحب الرموز التي تم إرسالها عن طريق الخطأ إلى العقد، وليس فقط المالك.

وفقًا لمصدر حصري تم مشاركته مع Bitcoin.com News، تم نقل أكثر من 520,000 دولار أمريكي من العملات المشفرة، بما في ذلك 4.2 WBTC ( حوالي 445 ألف دولار أمريكي ) في معاملة واحدة، بواسطة جهات غير مرتبطة عبر إصدارات الموجه 4 و 5 و 6. تنشأ الثغرة من وظائف الاستدعاء المتاحة للجمهور ومنطق الموجه الذي يقبل برك السواب المحددة من قبل المستخدم. تسمح هذه الثغرات بإجراء معاملات مزيفة تعمل على غسل استخراج الأموال تحت ستار استخدام البروتوكول الروتيني.

بدلاً من أن تكون مقفلة أو قابلة للاسترجاع فقط بواسطة 1inch، أصبحت الرموز التي تم إرسالها بالخطأ لعبة عادلة لأي شخص لديه معرفة تقنية. هذه ليست خطأ في البرمجة، ولكنها تعويض تصميم موفر للغاز قام بتقدير سلوك المستخدم بشكل خاطئ وأفرط في تقدير أمان العقد من خلال الغموض.

شارك ميوروسلاف باريل، المدير التقني لشركة كاربونتيك، بعض الأفكار من تحقيق الشركة.

هذه ليست مجرد مشكلة بمقدار 1 بوصة؛ إنها نقطة عمياء نظامية قد تكون موجودة عبر بروتوكولات دي فاي أخرى. الافتراض بأن الرموز المرسلة بشكل خاطئ إما لا يمكن استردادها أو يمكن استردادها فقط من قبل مالكي العقد يخلق شعوراً زائفاً بالأمان والسلامة. غالباً ما تنشأ المخاطر في العالم الحقيقي ليس فقط من الأخطاء في الشيفرة ولكن أيضاً من أنماط التصميم. يجب تحقيق التوازن بين الجوانب الحرجة لتصميم البروتوكولات الهيكلية والأمان ومنع سوء الاستخدام.

تظهر أبحاث Carbontec أن هذه المشكلة تؤثر على 1inch فحسب، بل قد تؤثر أيضًا على أي بروتوكول defi يقبل إدخال العقود الخارجية أو يكشف عن استدعاءات التبديل الداخلية. مع سحب مئات الآلاف من أموال المستخدمين بهدوء، تثير التحقيقات تساؤلات ملحة حول كيفية تعامل بروتوكولات defi مع الأخطاء ومن يمتلك حق الوصول فعليًا إلى أموال المستخدمين.