1inch 黑客獲取賞金後歸還大部分資金

ChainCatcher 消息，据 Decurity 安全團隊報導，1inch 協議於 2025 年 3 月 5 日下午 5 點（UTC 時間）遭遇一次嚴重的 DeFi 攻擊事件，黑客利用舊版 1inch Settlement 合約中的回調選項漏洞獲取資金。

漏洞源於訂單後綴處理中的數據損壞問題，攻擊者能夠覆蓋解析器地址並調用任意解析器，導致做市商 TrustedVolumes 資金損失。根據 Decurity 團隊分析，該漏洞存在於 2022 年 11 月從 Solidity 重寫為 Yul 的代碼中，儘管經過多家安全團隊審計，但該漏洞仍在系統中存在超過兩年。

事件發生後，攻擊者通過鏈上消息詢問"我能獲得賞金嗎？"，隨後與受害方 TrustedVolumes 進行協商。談判成功後，攻擊者於 3 月 5 日晚間開始歸還資金，最終在 3 月 6 日凌晨 4:12（UTC 時間）歸還了除賞金外的全部資金。

Decurity 作為 Fusion V1 審計團隊之一，對此事件進行了內部調查，並總結了幾點教訓，包括明確威脅模型和審計範圍、對審計期間變更的代碼要求額外時間、驗證已部署合約等。