TechFlow đưa tin, theo nhóm an ninh Decurity, giao thức 1inch đã trở thành mục tiêu của một cuộc tấn công DeFi nghiêm trọng vào lúc 5 giờ chiều ngày 5 tháng 3 năm 2025 (giờ UTC). Tin tặc đã khai thác lỗ hổng tùy chọn callback trong hợp đồng Settlement phiên bản cũ để rút tiền.
Lỗ hổng xuất phát từ vấn đề hỏng dữ liệu trong xử lý hậu tố đơn hàng, cho phép kẻ tấn công ghi đè địa chỉ parser và gọi parser tùy ý, dẫn đến thất thoát vốn của nhà tạo lập thị trường TrustedVolumes. Theo phân tích của đội Decurity, lỗ hổng này tồn tại trong đoạn mã được viết lại từ Solidity sang Yul vào tháng 11 năm 2022. Mặc dù đã trải qua kiểm toán từ nhiều nhóm an ninh khác nhau, nhưng lỗ hổng vẫn tồn tại trong hệ thống hơn hai năm.
Sau sự cố, tin tặc đã gửi tin nhắn trên chuỗi hỏi: "Tôi có thể nhận được phần thưởng không?", sau đó đàm phán với bên bị hại TrustedVolumes. Sau khi thương lượng thành công, tin tặc bắt đầu hoàn trả tiền vào tối ngày 5 tháng 3 và cuối cùng đã hoàn trả toàn bộ số tiền (trừ phần thưởng) vào lúc 4:12 sáng ngày 6 tháng 3 (giờ UTC).
Decurity, với tư cách là một trong các nhóm kiểm toán Fusion V1, đã tiến hành điều tra nội bộ về sự việc này và tổng kết một số bài học kinh nghiệm, bao gồm: làm rõ mô hình mối đe dọa và phạm vi kiểm toán, yêu cầu thêm thời gian đánh giá đối với những đoạn mã thay đổi trong quá trình kiểm toán, và xác minh các hợp đồng đã triển khai.




