Trusted

Siste nytt 1inch Frontend kompromittert i omfattende forsyningskjedeangrep

2 mins
Translated Mohammad Shahid

I korte trekk

  • 1Inch, TEN Finance og andre rammet av et forsyningskjedeangrep på grunn av et kompromittert Lottie Player frontend-bibliotek.
  • Injisert skadelig kode muliggjør uautoriserte transaksjoner og utgjør risiko for brukernes midler og personlige data.
  • Brukere rådes til å unngå all interaksjon med nettstedene; Lottie Player-teamet jobber med en løsning.

Desentralisert børsaggregator 1inchs nettsted har blitt hacket sammen med flere andre plattformer som bruker det samme frontend-biblioteket, Lottie Player.

Hacket stammer fra ondsinnet kode injisert i Lottie Player, et mye brukt animasjonsbibliotek som brukes av flere dApps og ikke-krypto nettsteder. I skrivende stund har ingen brukerlommebøker blitt rapportert kompromittert.

1inch-brukere advart mot enhver interaksjon

Ifølge flere innlegg på X (tidligere Twitter), er 1inch og TEN Finance de bekreftede ofrene for dette angrepet så langt. Imidlertid kan antallet være mye høyere, ettersom utnyttelsen målrettet Lottie Player versjoner 2.0.5 og høyere.

Hackere har angivelig injisert ondsinnet kode i front-end JSON-filene til nettsteder som bruker disse versjonene. Denne koden gjør nå at de kompromitterte nettstedene kan utføre uautoriserte transaksjoner, noe som utgjør en alvorlig trussel mot brukernes aktiva og data.

Les mer: 9 tips for sikkerhet av krypto-lommebøker for å beskytte dine aktiva

Rapporter fra Blockaid indikerer at angrepet ble introdusert gjennom et kompromiss av Lottie Players innholdsserver, hvor en ondsinnet npm-pakke ble brukt til å distribuere endret kode. Blockaid og andre sikkerhetsfirmaer har bekreftet injeksjonen av uautoriserte skript innenfor pakken.

“Legitime nettsteder (ikke-krypto også) serverer nå ondsinnet innhold, inkludert anti-debug unngåelseskode. @LottieFiles, det ser ut som angripere har klart å skyve ondsinnede versjoner av pakken din, med en annen versjon som lastes opp nå,” skrev Blockaid i et X (tidligere Twitter) innlegg.

I skrivende stund har 1inch ikke utgitt noen offisiell uttalelse om bruddet. Imidlertid har Lottie Player-teamet bekreftet at de var i stand til å identifisere årsaken til bruddet og jobber med å fjerne de berørte versjonene.

Brukere anbefales strengt å unngå å koble til lommebøker eller samhandle med berørte plattformer til sikkerhetsproblemene er fullstendig løst.

1inch hack
Fellesskapspost på 1inch Discord-kanalen

Kryptoangrep fortsetter å eskalere

Sikkerhetsbrudd har vært det mest plagsomme problemet i kryptoindustrien, og ondsinnede aktiviteter fortsetter å vokse hvert år.

Nylig har hackere angivelig stjålet $ 20 millioner verdt av kryptovalutaer fra den amerikanske regjeringen. Fondene var også en del av de $ 3,6 milliardene som føderale myndigheter beslagla fra Bitfinex-hackerne.

Blockchain-utlåner Radiant Capital led et av de største hackene i år, og mistet mer enn $ 50 millioner. Hackerne fikk kontroll over firmaets private nøkler og tømte raskt disse aktivaene.

Les mer: Krypto sosiale medier-svindler – Hvordan holde seg trygg

Imidlertid har også etterforskningen og rettsforfølgelsen av disse forbrytelsene intensivert. FBT arresterte nylig SEC X (tidligere Twitter) konto-hackeren. Den anklagede er en 25 år gammel mann fra Alabama ved navn Eric Council Jr.

Tidligere i år skal Council angivelig ha hacket SECs X-konto og postet falske nyheter om godkjenninger av Bitcoin ETF-er, noe som betydelig påvirket markedet. Likevel tror føderale myndigheter at Council ikke var hjernen bak denne operasjonen, og de prøver å forhandle frem en tilståelsesavtale med ham.

Så langt har kryptohacks overgått $ 2,1 milliarder i 2024, med CeFi-plattformer som tar de største støtene.

Disclaimer

Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.