Trusted

Top Nyheder 1inch frontend kompromitteret i omfattende supply chain-angreb

2 mins
Translated Mohammad Shahid

I korte træk

  • 1Inch, TEN Finance og andre ramt af et supply chain-angreb på grund af et kompromitteret Lottie Player frontend-bibliotek.
  • Indsprøjtet ondsindet kode muliggør uautoriserede transaktioner og udgør risici for brugernes midler og personlige data.
  • Brugerne rådes til at undgå enhver interaktion med hjemmesiderne; Lottie Player-teamet arbejder på en løsning.

Decentraliseret børsaggregator 1inch’s hjemmeside er blevet hacket sammen med flere andre platforme, der bruger det samme frontend-bibliotek, Lottie Player.

Hacket stammer fra ondsindet kode injiceret i Lottie Player, et bredt anvendt animationsbibliotek brugt af flere dApps og ikke-krypto hjemmesider. I øjeblikket er der ikke rapporteret om kompromitterede bruger-wallets.

1inch-brugere advares mod enhver interaktion

Ifølge flere opslag på X (tidligere Twitter), er 1inch og TEN Finance indtil videre bekræftede ofre for dette angreb. Men antallet kan være meget højere, da udnyttelsen målrettede Lottie Player versioner 2.0.5 og derover.

Hackere har angiveligt injiceret ondsindet kode i front-end JSON-filer på hjemmesider, der bruger disse versioner. Denne kode gør nu de kompromitterede sider i stand til at udføre uautoriserede transaktioner, hvilket udgør en alvorlig trussel mod brugernes aktiver og data.

Læs mere: 9 tips til sikkerhed af krypto-wallets for at beskytte dine aktiver

Rapporter fra Blockaid indikerer, at angrebet blev introduceret gennem et kompromis af Lottie Players indholdsserver, hvor en ondsindet npm-pakke blev brugt til at distribuere ændret kode. Blockaid og andre sikkerhedsfirmaer har bekræftet injektionen af uautoriserede scripts i pakken.

“Legitime sider (også ikke-krypto) serverer nu ondsindet indhold, inklusive anti-debug undvigelseskode. @LottieFiles, det ser ud til, at angribere har formået at skubbe ondsindede versioner af jeres pakke, med endnu en version, der bliver uploadet nu,” skrev Blockaid i et X (tidligere Twitter) opslag.

I øjeblikket har 1inch ikke udsendt nogen officiel udtalelse om bruddet. Men Lottie Player-teamet har bekræftet, at de har identificeret årsagen til bruddet og arbejder på at fjerne de påvirkede versioner.

Brugere rådes strengt til at undgå at forbinde wallets eller interagere med påvirkede platforme, indtil sikkerhedsproblemerne er fuldt løst.

1inch hack
Fællesskabsopslag på 1inch Discord-kanalen

Krypto-hacks fortsætter med at eskalere

Sikkerhedsbrud har været det mest plagsomme problem i kryptoindustrien, og ondsindede aktiviteter fortsætter med at vokse hvert år.

For nylig har hackere angiveligt stjålet $20 millioner værd af kryptovalutaer fra den amerikanske regering. Midlerne var også en del af de $3,6 milliarder, som myndighederne beslaglagde fra Bitfinex-hackerne.

Blockchain-udlåner Radiant Capital led et af årets største hacks, hvor de mistede mere end $50 millioner. Hackerne fik kontrol over firmaets private nøgler og tømte hurtigt disse aktiver.

Læs mere: Krypto-sociale mediesvindel – Sådan holder du dig sikker

Men efterforskningen og retsforfølgelsen af disse forbrydelser er også intensiveret. FBT har for nylig anholdt hackeren bag SEC’s X (tidligere Twitter) konto. Den anklagede er en 25-årig mand fra Alabama ved navn Eric Council Jr.

Tidligere i år hackede Council angiveligt SEC’s X-konto og postede falske nyheder om godkendelser af Bitcoin ETF’er, hvilket betydeligt påvirkede markedet. Men myndighederne mener ikke, at Council var hjernen bag denne operation, og de forsøger at forhandle en tilståelsesaftale med ham.

Indtil videre har krypto-hacks overstiget $2,1 milliarder i 2024, hvor CeFi-platforme har taget de største slag.

Disclaimer

Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.