1inch ハッカー、報酬を得た後に大部分の資金を返還

ChainCatcher のメッセージによると、Decurity セキュリティチームの報告で、1inch プロトコルは 2025 年 3 月 5 日午後 5 時（UTC 時間）に深刻な DeFi 攻撃事件に遭遇しました。ハッカーは旧版 1inch Settlement コントラクトのコールバックオプションの脆弱性を利用して資金を取得しました。

脆弱性は、注文サフィックス処理におけるデータ破損の問題に起因しており、攻撃者はパーサーアドレスを上書きし、任意のパーサーを呼び出すことができ、マーケットメイカー TrustedVolumes の資金損失を引き起こしました。Decurity チームの分析によれば、この脆弱性は 2022 年 11 月に Solidity から Yul に書き換えられたコードに存在しており、複数のセキュリティチームによる監査を受けたにもかかわらず、システム内に 2 年以上も残っていました。

事件発生後、攻撃者はオンチェーンメッセージで「報酬を得られますか？」と尋ね、その後、被害者である TrustedVolumes と交渉を行いました。交渉が成功した後、攻撃者は 3 月 5 日の夜に資金の返還を開始し、最終的に 3 月 6 日午前 4 時 12 分（UTC 時間）に報酬を除く全ての資金を返還しました。

Decurity は Fusion V1 監査チームの一員として、この事件について内部調査を行い、明確な脅威モデルと監査範囲、監査期間中の変更に対する追加の時間要求、デプロイされたコントラクトの検証など、いくつかの教訓をまとめました。