1inch路由器中的设计缺陷允许误发资金的提取

区块链安全公司Carbontec发现了1inch的聚合路由器v6智能合约中的一个重大设计漏洞，这是一个为数百万用户提供代币交换的关键DeFi协议。问题在于？任何人都可以提取错误发送到合约的代币，而不仅仅是所有者。

根据与Bitcoin.com News分享的独家消息，超过52万美元的加密货币，包括在一笔交易中4.2 WBTC（约合44.5万美元），被无关的参与者在路由器版本4、5和6之间转移。这个缺陷源于公开可访问的回调函数和路由器的逻辑，这些逻辑接受用户定义的交换池。这些允许伪造交易，从而在常规协议使用的幌子下有效地洗钱提取资金。

错误发送的代币并没有被锁定或仅能由1inch检索，而是成为了任何具备技术知识的人的“公平游戏”。这不是一个编码错误，而是一个节省燃气的设计权衡，低估了用户行为并高估了通过模糊性实现的合约安全性。

Carbontec的首席技术官Miroslav Baril分享了公司调查的一些看法。

这不仅仅是1inch的问题；这是一个系统性的盲点，可能存在于其他DeFi协议中。假设误发的代币要么无法检索，要么只能由合约所有者恢复，这种假设造成了虚假的安全感和安全性。现实世界的风险往往不仅来自代码中的错误，还来自设计模式。结构性协议设计的关键方面必须与安全性和误用预防相平衡。

Carbontec的研究表明，这个问题不仅影响1inch，还可能影响任何接受外部合约输入或暴露内部交换回调的DeFi协议。随着数十万美元的用户资金悄然被 siphoned off，这项调查提出了关于DeFi协议如何处理错误以及谁真正可以访问用户资金的紧迫问题。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。