Децентрализованный DEX-агрегатор 1inch допустил ошибку, которая вызвала уязвимость в их смарт-контрактах. Хакер, который вскрыл эту тему, украл порядка $5 миллионов, но после переговоров и нормального реварда в виде баунти всё же откатил большую часть средств.
Ошибка была обнаружена 5 марта, когда 1inch зафиксировал подозрительные транзакции. Позже выяснилось, что уязвимость была в старом смарт-контракте Fusion v1, который давно требовал замены на более безопасный.
Хакер, недолго думая, сделал эксплойт и заработал существенное количество средств. Но уже через пару дней, после разборок с командой и обсуждения деталей, он решил сыграть в «белого хэттера» и вернуть львиную долю денег.
«После переговоров с хакером 1inch смог вернуть большую часть украденных $5M, а тот оставил себе долю как баунти,» — поделились WuBlockchain со ссылкой на отчёт Decurity.
К счастью, пользователи не пострадали, так как убытки понёс сторонний маркет-мейкер TrustedVolumes. После взлома 1inch оперативно зашевелился, перезапустил резолвер-контракты и закрыл дыры, чтобы больше никто не смог повторить этот финт.
После взлома хакер оставил сообщение в блокчейне, предложив вернуть средства в обмен на вознаграждение.
Представители TrustedVolumes поняли, что без торга не обойтись, и вышли на связь. В итоге обе стороны пришли к консенсусу — человек вернул украденное, получил свой «честный» кусок, и все разошлись довольные.
Это ещё один пример, как в DeFi всё чаще срабатывает схема «этичного» хакинга, когда хакеры не просто взламывают систему и отмывают награбленное, а идут на диалог с проектом, выбивая себе легальный бонус.
