1inch 해커, 보상금 수령 후 대부분의 자금 반환
ChainCatcher 메시지에 따르면, Decurity 보안 팀의 보고서에 의하면, 1inch 프로토콜은 2025년 3월 5일 오후 5시(UTC 시간)에 심각한 DeFi 공격 사건을 겪었으며, 해커는 구버전 1inch Settlement 계약의 콜백 옵션 취약점을 이용하여 자금을 탈취했습니다.취약점은 주문 접미사 처리에서 데이터 손상 문제에서 발생하였으며, 공격자는 파서 주소를 덮어쓰고 임의의 파서를 호출할 수 있어, 시장 조성자 TrustedVolumes의 자금 손실을 초래했습니다. Decurity 팀의 분석에 따르면, 이 취약점은 2022년 11월 Solidity에서 Yul로 재작성된 코드에 존재하며, 여러 보안 팀의 감사에도 불구하고 이 취약점은 시스템에 2년 이상 존재해왔습니다.사건 발생 후, 공격자는 체인 상 메시지를 통해 "보상을 받을 수 있나요?"라고 문의하였고, 이후 피해자 TrustedVolumes와 협상하였습니다. 협상이 성공적으로 진행된 후, 공격자는 3월 5일 저녁부터 자금을 반환하기 시작하였고, 결국 3월 6일 오전 4시 12분(UTC 시간)에 보상을 제외한 모든 자금을 반환하였습니다.Decurity는 Fusion V1 감사 팀 중 하나로서 이 사건에 대한 내부 조사를 실시하였으며, 명확한 위협 모델 및 감사 범위 설정, 감사 기간 중 변경된 코드에 대한 추가 시간 요구, 배포된 계약 검증 등 몇 가지 교훈을 정리하였습니다.