Атака на цепочку поставок затронула 1inch и другие платформы
Недавняя атака на цепочку снабжения скомпрометировала интерфейс децентрализованного агрегатора обмена 1inch, TEN Finance и других платформ из-за вредоносного кода, внедренного в библиотеку анимации Lottie Player. Этот инцидент затрагивает версии Lottie Player 2.0.5 и выше, что позволяет несанкционированные транзакции, ставящие под угрозу средства и личные данные пользователей. Пользователям рекомендуется избегать взаимодействия с этими затронутыми платформами до устранения проблем с безопасностью.
Атака произошла из-за вредоносного кода, введенного в JSON-файлы библиотеки Lottie Player, что позволило скомпрометированным сайтам выполнять несанкционированные действия. Безопасная фирма Blockaid сообщила, что утечка произошла из-за поврежденного npm-пакета на сервере контента Lottie Player. Специалисты по безопасности подтвердили, что злоумышленники вставили несанкционированные скрипты, включая код для обхода мер отладки. Законные сайты вне криптопространства также могут предоставлять вредоносный контент из-за этой уязвимости. Команда Lottie Player выявила источник проблемы и работает над удалением скомпрометированных версий.
Этот инцидент отражает более широкую тенденцию роста крипто-взломов. Уязвимости в криптоиндустрии становятся все более сложными с каждым годом. Недавно хакеры украли $20 миллионов в криптовалюте у правительства США, связанные с фондами, конфискованными у хакеров Bitfinex. Блокчейн-кредитор Radiant Capital понес значительные потери, более $50 миллионов было украдено из-за взлома, который получил доступ к его приватным ключам.
Федеральные расследования крипто-преступлений усилились. FBI арестовал Эрика Кансела-младшего за предполагаемый взлом аккаунта SEC в X (ранее Twitter) и распространение ложных новостей о одобрении Bitcoin ETF, что нарушило рынок. Хотя Канцел находится под стражей, власти считают, что он не был организатором взлома и ведут переговоры о сделке со следствием.
В 2024 году кражи, связанные с криптовалютой, уже превысили $2.1 миллиарда, при этом платформы централизованных финансов (CeFi) понесли наибольшие убытки.