Веб-додаток 1inch скомпрометований, збитки будуть відшкодовані

1inch, децентралізований агрегатор біржі, був скомпрометований після того, як зловмисники впровадили зловісний код у оновлення бібліотеки анімації, що спонукало користувачів підключити свої гаманці до криптовалюти.

У користувачів 1inch 30 жовтня виявилися злоякісні спливаючі вікна, які несподівано з’явилися, закликаючи їх підключити свої гаманці. Ці підказки, вбудовані за допомогою скомпрометованого коду в популярну бібліотеку анімацій Lottie Player, перенаправляли користувачів на “Ace drainer”, прихований під виглядом стандартного запиту на підключення гаманця, за словами веб3-фірми з безпеки Blockaid.

У своєму звіті про післяінцидентну ситуацію, 1inch зазначив, що було пошкоджено лише його веб-додаток, а всі інші платформи, включаючи мобільний додаток та API-сервіси, залишилися неушкодженими. Не розкриваючи масштаб втрат, команда натякає на те, що деякі користувачі могли постраждати, але запевняє, що втрати будуть відшкодовані.

Розробники закликали користувачів “відкликати схвалення ERC20 з злоякісних адрес”, додаючи, що вони “посилюють управління залежностями для підвищення безпеки.”

Що сталося?

За даними дослідника з кібербезпеки Гала Наглі, порушення випливає з масштабної атаки на ланцюжок постачання на бібліотеку анімації Lottie Player.

Lottie Player, широко використовується для веб-анімації, використовується великими компаніями, такими як Apple, Spotify і Disney, для створення привабливих користувацьких інтерфейсів.

Атакувальники спочатку порушили рахунок GitHub висококваліфікованого інженера-програміста у LottieFiles, видавця бібліотеки Lottie Player. Використовуючи цей доступ, атакувальники за три години виклали три зловмисні оновлення. Ці оновлення містять код, який впроваджує зловмисний випливний віконце на веб-сайти, що використовують цю бібліотеку.

За словами Наглі, хоча атака спочатку була спрямована на компанії web3, він попередив, що інші веб-сайти, які використовують порушені версії бібліотеки, залишаються вразливими.

На момент написання цієї статті, пошкоджені бібліотеки вже були видалені з GitHub, і користувачам було запропоновано оновити до останньої версії.

У дописі X від 31 жовтня кібербезпекова компанія Scam Sniffer зауважила, що принаймні одна жертва втратила 10 BTC, що приблизно становить 723,436 доларів у той час, після підписання шахрайської транзакції.

Складна природа шахрайства в криптовалюті

17 жовтня Blockaid повідомив про ще один напад, де зловмисники виклали зловісний код для компрометації Ambient Finance, децентралізованої біржі. У цьому випадку, зловмисники, як повідомляється, використовували набір Inferno Drainer.

У січні ScamSniffer прапорець фішингову атаку, яка використовує операційні коди, використовувані в мовах скриптування різних криптовалютних платформ, для вилучення $4.2 мільйонів вартості aEthWETH та aEthUNI.

Минулого року фірма з безпеки повідомила, що використовується зловмисний скрипт, щоб атакувати понад 10 000 веб-сайтів та красти криптовалютні активи.

Протягом років кілька витягів з гаманцями припинили роботу через покращення безпеки в криптопросторі та створення ініціативи SEAL 911. Однак нападники продовжують знаходити нові способи ухилятися від цих оборонних засобів.