Aplikasi web 1inch terpengaruh, kerugian akan diganti

1inch, sebuah agregator pertukaran terdesentralisasi, telah dikompromikan setelah penyerang menyuntikkan kode berbahaya ke dalam pembaruan pustaka animasi, memaksa pengguna untuk menghubungkan dompet mereka ke crypto drainer.

Pada 30 Oktober, pengguna 1inch mengalami popup berbahaya yang muncul tiba-tiba, mendorong mereka untuk menghubungkan dompet mereka. Promosi ini, yang disematkan melalui kode yang dikompromikan di perpustakaan animasi Lottie Player yang populer, mengalihkan pengguna ke “Ace drainer” yang menyamar sebagai permintaan koneksi dompet standar, menurut perusahaan keamanan web3 Blockaid.

Dalam laporan pasca-insiden, 1inch mencatat bahwa hanya web dApp-nya yang terpengaruh, dan semua platform lain, termasuk aplikasi seluler dan layanan API-nya, tetap tidak terpengaruh. Tanpa mengungkapkan sejauh mana kerugiannya, tim memberi petunjuk bahwa beberapa pengguna mungkin terpengaruh, tetapi menjamin bahwa kerugian akan dikembalikan.

Para pengembang telah mendesak pengguna untuk “mencabut persetujuan ERC20 dari alamat jahat” dengan menambahkan bahwa mereka sedang “memperkuat manajemen ketergantungan untuk keamanan yang lebih baik.”

Apa yang terjadi?

Menurut peneliti keamanan siber Gal Nagli, pelanggaran tersebut berasal dari serangan rantai pasokan skala besar pada perpustakaan animasi Pemain Lottie.

Lottie Player, yang banyak digunakan untuk animasi web, digunakan oleh perusahaan-perusahaan besar seperti Apple, Spotify, dan Disney untuk menciptakan antarmuka pengguna yang menarik.

Para penyerang awalnya berhasil meretas akun GitHub seorang insinyur perangkat lunak senior di LottieFiles, penerbit perpustakaan Lottie Player. Dengan akses ini, para penyerang melakukan tiga pembaruan berbahaya dalam waktu tiga jam. Pembaruan tersebut berisi kode yang menyuntikkan popup berbahaya ke situs web yang menggunakan perpustakaan ini.

Sementara menurut Nagli, serangan awalnya ditujukan kepada perusahaan web3, dia memperingatkan bahwa website lain yang menggunakan versi perpustakaan yang terkena dampak tetap rentan.

Pada saat berita ini ditulis, perpustakaan yang terkena dampak telah dihapus dari GitHub, dan pengguna diminta untuk meningkatkan ke versi terbaru.

Dalam postingan X tanggal 31 Oktober, perusahaan keamanan Siber Scam Sniffer mencatat bahwa setidaknya satu korban telah kehilangan 10 BTC, senilai sekitar $723,436 pada saat itu, setelah menandatangani transaksi phishing.

Sifat kompleks dari penipuan crypto

Pada 17 Oktober, Blockaid melaporkan serangan lain di mana penyerang mengirimkan kode berbahaya untuk mengompromikan Ambient Finance, sebuah pertukaran terdesentralisasi. Dalam kejadian tersebut, para penyerang dilaporkan menggunakan Inferno Drainer kit.

Pada bulan Januari, ScamSniffer menandai serangan phishing yang mengeksploitasi kode operasi yang digunakan dalam bahasa scripting dari berbagai platform cryptocurrency untuk menguras aEthWETH dan aEthUNI senilai $ 4,2 juta.

Tahun lalu, perusahaan keamanan melaporkan adanya peretas dompet yang menggunakan skrip jahat untuk menargetkan lebih dari 10.000 situs web dan mencuri aset kripto.

Selama bertahun-tahun, beberapa peretas dompet telah ditutup karena kemajuan keamanan di ruang kripto dan pembentukan inisiatif seperti SEAL 911. Namun, penyerang terus menemukan cara baru untuk menghindari pertahanan ini.