Хакеры взломали децентрализованное приложение 1inch
Веб-сайт децентрализованного приложения 1inch подвергся взлому. То же самое произошло и с многими другими платформами, которые используют open-source библиотеку Lottie Player
Команда 1inch подтвердила факт взлома фронтенда. Разработчики отметили, что компенсируют все похищенные средства пользователей.
Как купить биткоин с карты за рубли — редакция BeInCrypto поделилась лучшими способами.
Что произошло
Сообщается, что злоумышленники внедрили вредоносный код в JSON-файлы интерфейса веб-сайтов, работающие на версии Lottie Player 2.0.5 и выше. Этот код позволяет скомпрометированным сайтам выполнять несанкционированные транзакции, что ставит под угрозу безопасность активов и данных пользователей.
По данным Blockaid , сначала хакеры взломали контент-сервер Lottie Player. Для распространения измененного кода они использовали вредоносный NPM-пакет.
NPM-пакет — это библиотека или набор кода, доступный для установки через npm (Node Package Manager) — менеджер пакетов для JavaScript
Читайте также: Что такое крипто скам — мошеннические схемы и способы защиты
«Официальные сайты (не крипто — тоже) начали распространять вредоносный контент, включая коды для уклонения от отладки. Кажется, что злоумышленники смогли загрузить вредоносные версии пакета Lottie Player, причем другая версия загружается прямо сейчас», — написали эксперты Blockaid в X (бывш. «Твиттер»).
Специалисты по кибербезопасности отметили , что после распространения вредоносного контента на официальных сайтах различных проектов данные во всплывающих окнах подключения к криптокошельку заменялись адресами хакеров.
Команда Lottie Player заявила , что нашла причину взлома. Тем временем представители 1inch рекомендовали отозвать одобрения ERC-20 с вредоносных адресов через инструмент Revoke.cash. Это необходимо для предотвращения дальнейшего доступа.
О количестве пострадавших и объеме похищенных средств информации пока нет. Команда 1inch заявила, что пострадало только приложение проекта. Криптокошелек и API 1inch не были затронуты. Разработчики подчеркнули, что возместят нанесенный пользователям ущерб.
К моменту написания этого материала проблему решили. Однако тем, кто все еще использует уязвимую библиотеку Lottie Player, нужно обновиться до безопасных версий.
Хотите стать частью большого и дружного сообщества BIC? Тогда подписывайтесь на нашу группу в «Телеграме» — там вас ждет общение с криптоэнтузиастами, помощь от наших экспертов и эксклюзивные комментарии опытных аналитиков.
Дисклеймер: содержание этой статьи отражает исключительно мнение автора и не представляет платформу в каком-либо качестве. Данная статья не должна являться ориентиром при принятии инвестиционных решений.
Вам также может понравиться
Ledger Live интегрирует THORChain через SwapKit
Блокчейн-солнечная компания Glow завершает финансирование на сумму 30 миллионов долларов США
CMT Digital возглавляет раунд предварительного посева в размере $2,5 миллиона для разработчика сети автономных агентов Axal
Краткий обзор: CMT Digital возглавила раунд, в котором также приняли участие a16z Crypto Startup School, Escape Velocity, IDG Vietnam и Artichoke Capital, среди прочих. Axal также объявила о запуске своего первого продукта: платформы автоматизации торговли Axal Autopilot, управляемой агентами.