TechFlow 소식에 따르면, Decurity 보안 팀의 보고에 따라 1inch 프로토콜이 2025년 3월 5일 오후 5시(UTC 기준) 심각한 DeFi 공격을 당했다. 해커는 구버전 1inch Settlement 계약의 콜백 옵션 취약점을 이용해 자금을 유출했다.
이 취약점은 주문 후미 데이터 처리 과정에서 발생하는 데이터 손상 문제에서 비롯된 것으로, 공격자는 파서 주소를 덮어씌우고 임의의 파서를 호출할 수 있었으며, 이로 인해 마켓메이커 TrustedVolumes의 자금이 유출되었다. Decurity 팀의 분석에 따르면, 이 결함은 2022년 11월 Solidity에서 Yul로 재작성된 코드에 존재했으며, 여러 보안 팀의 감사를 거쳤음에도 불구하고 2년 이상 시스템 내에 잔존하고 있었다.
사건 발생 후 공격자는 체인 상 메시지를 통해 "보상금을 받을 수 있나요?"라고 문의한 뒤 피해 당사자인 TrustedVolumes와 협상을 진행했다. 협상이 성사되자 공격자는 3월 5일 밤부터 자금 반환을 시작하여, 결국 3월 6일 오전 4시 12분(UTC 기준)까지 보상금을 제외한 모든 자금을 반납했다.
Decurity는 Fusion V1 감사팀 중 하나로서 이번 사건에 대해 내부 조사를 실시하고 몇 가지 교훈을 정리했는데, 이에는 명확한 위협 모델 및 감사 범위 설정, 감사 기간 중 코드 변경 시 추가적인 평가 시간 확보, 배포된 계약의 검증 등의 항목이 포함된다.




