Lottie Player-breach brengt gebruikersfondsen bij 1inch in gevaar
|
1inch, een decentralized exchange aggregator, heeft een aanzienlijk beveiligingslek opgelopen nadat aanvallers kwaadaardige code hadden geïnjecteerd via de Lottie Player bibliotheek.
1inch inbraak gelinkt aan Lottie Player hack
De decentralized exchange aggregator 1inch, samen met verschillende andere cryptoapplicaties, ondervond op 30 oktober een wijdverspreide frontend inbreuk als gevolg van een ketenaanval waarbij de Lottie Player animatiebibliotheek betrokken was.
Aanvallers injecteerden kwaadaardige code in de gecompromitteerde bibliotheek, die vervolgens dApps trof die erop vertrouwen, waaronder 1inch en TEN Finance.
🚨 Potential compromise detected on the @1inch 1inch dApp front-end: we've confirmed it's loading suspicious code from https://t.co/pWU9N0Bdpm.
— Coinspect Security (@coinspect) October 30, 2024
Stay cautious! pic.twitter.com/FV2eXWhFTQ
Hoe de aanval verliep
De aanval vond plaats toen hackers het GitHub account van een LottieFiles software engineer in gevaar brachten en drie kwaadaardige updates naar de Lottie Player bibliotheek pushten in minder dan drie uur.
Deze kwaadaardige code bevatte een popup prompt die gebruikers aanspoorde om hun portemonnee te verbinden, maar leidde hen in plaats daarvan naar “Ace Drainer”, een phishing platform ontworpen om crypto portemonnees leeg te halen.
Veiligheidswaarschuwingen voor gebruikers
Cyberbeveiligingsbedrijven Blockaid en Wiz meldden het probleem snel op sociale media en adviseerden gebruikers om geen interactie aan te gaan met de getroffen sites totdat de kwaadaardige code volledig is verwijderd.
Uit voorzorg worden gebruikers van 1inch en andere getroffen dApps dringend geadviseerd om het verbinden van wallets te vermijden en hun token goedkeuringsinstellingen te controleren om onbedoelde toestemmingen in te trekken.
Incident Response for Recently Infected Lottie-Player versions 2.05, 2.06, 2.0.7
Comm Date/Time: Oct 31st, 2024 04:00 AM UTC
Incident: On October 30th ~6:20 PM UTC – LottieFiles were notified that our popular open source npm package for the web player @lottiefiles/lottie-player…
— LottieFiles (@LottieFiles) October 31, 2024
Lopend onderzoek en reactie
Hoewel 1inch nog geen gedetailleerde verklaring over de verliezen heeft vrijgegeven, heeft het team gebruikers verzekerd dat alleen de web dApp is getroffen en dat de mobiele en API services veilig zijn gebleven.
Het LottieFiles team heeft sindsdien de gecompromitteerde bibliotheekversies verwijderd en ontwikkelaars geadviseerd om te upgraden naar een veilige release om verdere inbreuken te voorkomen.
Escalatie van beveiligingsrisico’s in DeFi
Deze recente aanval benadrukt de voortdurende kwetsbaarheid van DeFi-toepassingen voor aanvallen in de toeleveringsketen, waarbij bibliotheken van derden die door dApp’s worden gebruikt, hoofddoelen kunnen worden voor slechte actoren.
Tot nu toe hebben cryptohacks in 2024 de $ 2,1 miljard overschreden, wat de aanhoudende beveiligingsuitdagingen in de cryptoruimte onderstreept.
