1inch 黑客获取赏金后归还大部分资金

最新消息，据Decurity安全团队报道，1inch协议于2025年3月5日下午5点（UTC时间）遭遇一次严重的DeFi攻击事件，黑客利用旧版1inchSettlement合约中的回调选项漏洞获取资金。 漏洞源于订单后缀处理中的数据损坏问题，攻击者能够覆盖解析器地址并调用任意解析器，导致做市商TrustedVolumes资金损失。根据Decurity团队分析，该漏洞存在于2022年11月从Solidity重写为Yul的代码中，尽管经过多家安全团队审计，但该漏洞仍在系统中存在超过两年。 事件发生后，攻击者通过链上消息询问"我能获得赏金吗？"，随后与受害方TrustedVolumes进行协商。谈判成功后，攻击者于3月5日晚间开始归还资金，最终在3月6日凌晨4:12（UTC时间）归还了除赏金外的全部资金。 Decurity作为FusionV1审计团队之一，对此事件进行了内部调查，并总结了几点教训，包括明确威胁模型和审计范围、对审计期间变更的代码要求额外时间、验证已部署合约等。