📢 Gate广场 #MBG任务挑战# 发帖赢大奖活动火热开启!
想要瓜分1,000枚MBG?现在就来参与,展示你的洞察与实操,成为MBG推广达人!
💰️ 本期将评选出20位优质发帖用户,每人可轻松获得50枚MBG!
如何参与:
1️⃣ 调研MBG项目
对MBG的基本面、社区治理、发展目标、代币经济模型等方面进行研究,分享你对项目的深度研究。
2️⃣ 参与并分享真实体验
参与MBG相关活动(包括CandyDrop、Launchpool或现货交易),并晒出你的参与截图、收益图或实用教程。可以是收益展示、简明易懂的新手攻略、小窍门,也可以是现货行情点位分析,内容详实优先。
3️⃣ 鼓励带新互动
如果你的帖子吸引到他人参与活动,或者有好友评论“已参与/已交易”,将大幅提升你的获奖概率!
MBG热门活动(帖文需附下列活动链接):
Gate第287期Launchpool:MBG — 质押ETH、MBG即可免费瓜分112,500 MBG,每小时领取奖励!参与攻略见公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通过首次交易、交易MBG、邀请好友注册交易即可分187,500 MBG!参与攻略见公告:https://www.gate.com/announcements
Carbontec 在 1inch 路由器的救援功能中发现了 520,000 美元的漏洞路径
Carbontec的一项调查显示,超过520,000美元的错误发送代币通过公共函数悄悄从1inch Routers v4–v6中提取,暴露了去中心化金融中最广泛使用的合约之一的安全盲点。
1inch 路由器设计缺陷导致错误发送资金的提取
区块链安全公司Carbontec发现了1inch的聚合路由器v6智能合约中的一个重大设计漏洞,这是一项关键的去中心化金融协议,帮助数百万用户进行代币交换。问题在于?任何人都可以提取错误发送到该合约的代币,而不仅仅是所有者。
根据与Bitcoin.com News共享的独家消息,超过520,000美元的加密货币被非关联方在路由器版本4、5和6之间转移,包括4.2 WBTC,(约445K)的一笔交易。该漏洞源于公开可访问的回调函数和路由器的逻辑,这些逻辑接受用户定义的交换池。这些允许伪造交易,实际上在常规协议使用的幌子下洗净资金提取。
与其被锁定或仅能通过1inch检索,错误发送的代币变成了任何具有技术知识的人的公平游戏。这不是一个编码错误,而是一个节省燃料的设计权衡,低估了用户行为,并高估了通过模糊性带来的合约安全性。
Carbontec的首席技术官Miroslav Baril分享了公司调查的一些想法。
Carbontec的研究表明,这个问题不仅影响1inch,可能还会影响任何接受外部合约输入或暴露内部交换回调的deFi协议。随着数十万用户资金悄然被 siphoned,调查提出了关于deFi协议如何处理错误以及谁真正能够访问用户资金的迫切问题。