В 1inch прокоментували злам застосунку й анонсували повернення коштів
30 жовтня користувачі децентралізованого застосунку 1inch зіткнулися зі шкідливим запитом на підключення і підпис гаманця, що дало змогу зловмисникам викрасти активи. Інцидент підтвердили представники проєкту.
On Oct 30, 9:12 PM – 11:22 PM CET, 1inch dApp users may have encountered a malicious wallet connect and signature request.
This signature allows an attacker to drain user's funds.
Only the 1inch web dApp was affected; the 1inch Wallet, API, and protocols were never compromised.
— 1inch (@1inch) October 31, 2024
За їхніми словами, постраждав тільки 1inch dapp — 1inch Wallet, API та протоколи не були скомпрометовані. Команда гарантувала повернення викрадених коштів.
Усім постраждалим користувачам рекомендовано відкликати схвалення ERC-20 зі шкідливих адрес за допомогою інструменту Revoke.cash, щоб запобігти подальшому доступу.
Кількість постраждалих і обсяг викрадених коштів не повідомляють.
Причиною злому стала атака на ланцюжок постачання у популярній бібліотеці анімації користувацького інтерфейсу Lottie Player. Кінцевою метою були сайти великих криптовалютних проєктів.
За словами фахівців із кібербезпеки, компрометація призвела до того, що дані у вікнах підключення до Web3-гаманця на легітимних сайтах автоматично замінювалися адресою зловмисників.
TLDR: Massive Supply Chain attack had been happening on the highly popular JS Library lottie-player since ~2 hours ago that populates attackers Web3 wallet connection pop-up on legitimate websites.
I'll write here what we know, what can be done and how to detect it in the wild.… pic.twitter.com/aX4DIj7Olp
— Nagli (@galnagli) October 31, 2024
Згідно з попередніми висновками розслідування, хакери скомпрометували токен акаунта одного з мейнтейнерів, що дало змогу впровадити шкідливий код приблизно в три версії менеджера пакетів NPM.
На момент написання проблему усунуто, вихідний заражений пакет було видалено з NPM і більшості провідних CDN. Однак сайти, які використовують вразливу бібліотеку, повинні оновитися до безпечних версій.
Раніше провайдер криптовалютних платежів Transak підтвердив частковий доступ третьої сторони до даних користувачів. Компанія стверджує, що фінансово чутлива або критично важлива інформація не була скомпрометована.
