TechFlow, d'après une information de l'équipe de sécurité Decurity, le protocole 1inch a subi un grave incident d'attaque DeFi le 5 mars 2025 à 17h00 (heure UTC). Le pirate a exploité une vulnérabilité dans l'option de rappel (callback) du contrat ancien de Settlement 1inch pour s'approprier des fonds.
La faille provient d'un problème de corruption de données lors du traitement du suffixe de commande. L'attaquant a pu remplacer l'adresse du parseur et invoquer un parseur arbitraire, entraînant une perte de fonds pour le market maker TrustedVolumes. Selon l'analyse de l'équipe Decurity, cette vulnérabilité existait dans un code réécrit en novembre 2022, passant de Solidity à Yul. Bien qu'auditée par plusieurs équipes de sécurité, la faille est restée présente dans le système pendant plus de deux ans.
Après l'incident, l'attaquant a envoyé un message en chaîne demandant : « Puis-je obtenir une prime ? », puis a entamé des négociations avec la partie victime, TrustedVolumes. Après un accord conclu, il a commencé à rembourser les fonds le soir du 5 mars, et a finalement restitué intégralement les montants (prime déduite) à 4h12 du matin le 6 mars (heure UTC).
Decurity, ayant été l'une des équipes ayant audité Fusion V1, a mené une enquête interne sur cet événement et en a tiré plusieurs enseignements : définir clairement le modèle de menace et le périmètre d'audit, exiger un temps supplémentaire pour auditer tout code modifié durant l'audit, et vérifier systématiquement les contrats effectivement déployés.




