Strona internetowa 1inch i innych projektów DeFi zostały zhakowane z powodu włamania do usługi Lottie Player
- Zespół 1inch ogłosił błąd bezpieczeństwa w aplikacji internetowej agregatora.
- Deweloperzy ostrzegli, że hakerzy “wstrzyknęli” złośliwe oprogramowanie phishingowe do dApp w celu kradzieży zasobów użytkowników.
- Oprócz agregatora, atak dotknął inne projekty DeFi, które ucierpiały w wyniku włamania do usługi Lottie Player.
30 października 2024 r. platformy monitorujące zidentyfikowały błędy bezpieczeństwa w aplikacji internetowej agregatora 1inch. Kilka godzin później deweloperzy potwierdzili te informacje i stwierdzili, że atak był spowodowany naruszeniem usługi Lottie Player.
Przedstawiciele projektu zauważyli, że incydent dotyczył tylko strony internetowej 1inch. Portfel kryptowalut, protokoły i interfejs programu (API) nie zostały naruszone. Zespół agregatora zadeklarował również gotowość do zrekompensowania potwierdzonych strat.
“Wszystkie straty zostaną zwrócone przez Fundację 1inch. Dotkniętym użytkownikom zaleca się cofnięcie uprawnień za pośrednictwem revoke.cash i skontaktowanie się z naszym działem pomocy technicznej. Problem został niezwłocznie naprawiony. Podejmujemy dodatkowe środki w celu wzmocnienia kontroli zależności, bezpieczeństwo użytkowników jest naszym priorytetem” – powiedzieli przedstawiciele 1inch.
Według deweloperów, hakerzy wprowadzili złośliwe oprogramowanie do dApp. Było to spowodowane włamaniem do biblioteki animacji popularnej usługi Lottie Player. Atakujący podobno uzyskali dostęp do konta Github starszego inżyniera oprogramowania platformy LottieFiles.
Następnie hakerzy pobrali trzy złośliwe aktualizacje, które wpłynęły na strony internetowe głównych projektów kryptograficznych. Wśród nich były 1inch, TEN Finance, DeBox i inne firmy. Następnie użytkownicy zasobów internetowych zaczęli widzieć wyskakujące okienka z prośbą o podłączenie portfela kryptowalut.
W rzeczywistości żądanie łączyło użytkownika ze złośliwym oprogramowaniem Ace Drainer. Jest to specjalny inteligentny kontrakt, który umożliwia szybkie wypłacanie środków użytkowników na adresy hakerów.
Przedstawiciele 1inch zauważyli, że od momentu wykrycia problemu do jego naprawienia minęło 50 minut. Zespół jest obecnie w trakcie analizowania wszystkich węzłów i wzmacniania systemów bezpieczeństwa. Użytkownikom, którzy przekazali dane do Ace Drainera, zalecono cofnięcie wszystkich uprawnień ERC-20 dla złośliwych adresów.
Analitycy potwierdzili również, że twórcy Lottie Player zlokalizowali zainfekowane pliki w ciągu kilku godzin i wyeliminowali zagrożenie. W momencie przygotowywania materiału nie otrzymano informacji o poszkodowanych użytkownikach i wysokości strat.
Przypomnijmy, pisaliśmy, że projekt Transak poinformował o wycieku danych ponad 92 000 użytkowników.
