TechFlowの報道によると、Decurityのセキュリティチームが発表したところによれば、1inchプロトコルは2025年3月5日午後5時(UTC)に重大なDeFi攻撃を受け、ハッカーは旧バージョンの1inch Settlementコントラクトに存在するコールバックオプションの脆弱性を悪用して資金を不正に取得した。
この脆弱性は注文サフィックス処理におけるデータ破損問題に由来し、攻撃者はパーサーのアドレスを上書きして任意のパーサーを呼び出すことができ、その結果、マーケットメーカーTrustedVolumesの資金が損失した。Decurityチームの分析によると、この脆弱性は2022年11月にSolidityからYulへとコードが再記述された際に導入されたもので、複数のセキュリティチームによる監査を経てもなお、システム内に2年以上にわたり存在していた。
事件発生後、攻撃者はオンチェーンメッセージを通じて「ボーナスを受け取ることはできますか?」と問い合わせを行い、その後被害を受けたTrustedVolumesと交渉を行った。交渉が成立した後、攻撃者は3月5日夜から返金を開始し、最終的に3月6日早朝4時12分(UTC)までに、ボーナスを除くすべての資金を返還した。
DecurityはFusion V1の監査チームの一つとして、今回の事象に対して内部調査を実施し、脅威モデルおよび監査範囲の明確化、監査期間中のコード変更に対する追加時間の要求、デプロイ済みコントラクトの検証などの教訓をまとめた。




