Bug de calldata du resolver 1inch

Le 5 mars 2025, un resolver 1inch exécutant un ancien contrat de règlement Fusion v1 a été exploité pour environ 5 millions de dollars. Une faille dans la construction des calldata de l'ancien contrat resolver a permis à l'attaquant d'en extraire les fonds. Le protocole principal de 1inch et les fonds des utilisateurs n'ont pas été affectés — la perte est tombée sur le resolver professionnel (TrustedVolumes), qui a ensuite été indemnisé via une négociation white-hat ayant permis le retour de la majorité des fonds.

Ce qui s'est passé

1inch Fusion utilise des « resolvers » tiers qui exécutent les ordres. Un contrat resolver Fusion v1 obsolète présentait une faille permettant à des calldata forgées de drainer son solde. L'attaquant a exploité l'ancien contrat ; l'opérateur du resolver a absorbé la perte. Après négociation, l'attaquant a rendu l'essentiel des fonds en échange d'une prime.

Conséquences

• 1inch a souligné que les fonds principaux et utilisateurs n'ont jamais été en danger ; le resolver obsolète a été retiré.
• La majorité des fonds a été restituée via un règlement white-hat.

Pourquoi c'est important

L'incident du resolver 1inch renforce deux thèmes du catalogue : (1) les contrats anciens/obsolètes restent une surface d'attaque vivante (Yearn iEarn, Aevo) — le resolver Fusion v1 est resté point d'entrée bien après la sortie de v2 ; et (2) le retour de fonds contre prime est désormais l'issue dominante des exploits inférieurs à 10 M$ avec des fonds identifiables et non blanchis. C'est aussi un exemple net de confinement du rayon d'impact par l'architecture : parce que les resolvers sont isolés de la garde du protocole principal, la compromission d'un resolver a coûté au resolver, pas aux utilisateurs de 1inch — le même principe d'isolation qui a limité Solv et Deribit.