Взлом интерфейсов 1inch и LottieFiles: пользователи теряют криптовалюту

Взлом 1inch: Хакеры используют уязвимость в Lottie Player Хакеры воспользовались уязвимостью в библиотеке Lottie Player, атаковав DeFi платформы 1inch, TEN Finance и другие. Злоумышленники внедрили вредоносный код в библиотеку интерфейса Lottie Player. что позволило им потенциально получить доступ к личной информации пользователей. 1inch в Х оперативно уведомил пользователей об инциденте и рекомендовал обновить настройки безопасности кошельков, подчеркнув что пострадал только пострадал только 1inch web dApp, другие протоколы не скомпрометированы.

Мультик взломал dApps Выявлена уязвимость системы безопасности ряда криптофинансовых приложений, использующих JavaScript-библиотеку анимации Lottie Player, куда был внедрен вредоносный код. Библиотека применяется для анимации на многих сайтах и в приложениях. Приложения, в частности, 1inch и TEN Finance, когда пользователи посещали сайты с зараженной библиотекой, показывали всплывающие окна с просьбой подключить цифровые кошельки. Поддельный запрос на подключение к пользовательскому кошельку перенаправлял на хакерское приложение «Ace Drainer», которое имитировало легитимное соединение. Как минимум один человек уже потерял 10 BTC $723 тыс. . Децентрализованная платформа 1inch в социальных сетях сообщила, что от атаки пострадало только веб-приложение. Сам криптокошелек и основные протоколы не были затронуты. Атаке подверглись обновления пакета npm версий 2.0.5–2.0.7 для Lottie Player. Разработчики npm рекомендуют применять пакеты версий 2.0.4 или 2.0.8. Рекомендация, не теряющая актуальности: Граждане...

Ace Drainer проник в библиотеку анимации Lottie Player Фронтенд-сайты нескольких крипто-приложений были скомпрометированы после того, как злоумышленники внедрили вредоносный код в обновление популярной библиотеки анимации Lottie Player. Что произошло? Злоумышленники взломали учетную запись GitHub старшего инженера LottieFiles. За три часа они выпустили три вредоносных обновления библиотеки. На сайтах крипто-приложений появились всплывающие окна, просящие пользователей подключить свои кошельки. На самом деле, это была ловушка "Ace Drainer" - злоумышленники получали доступ к кошелькам и крали средства. В числе пострадавших приложений - 1inch и TEN Finance. Важно — Проверяйте источники обновлений для важных приложений. — Будьте осторожны с всплывающими окнами, просящими подключить кошельки. — Обновляйте библиотеки до последних версий. Эта атака показывает, что даже самые популярные и надежные сервисы могут стать жертвами взломов. SMACOS Чат пользователей Поддержка

Что сейчас происходит в мире криптовалюты. Узнать

1inch был взломан В коде интерфейса 1inch был обнаружен подозрительный код, который просил подписать транзакцию в кошельке и списывал все средства. Команда в своем Twitter заявила, что устранила проблему и что доступа к средствам через смарт-контракты у хакеров не было. Рекомендуем периодически отзывать ненужные разрешения в протоколах через Revoke.cash

Сегодня произошел взлом веб приложения 1inch, код злоумышленников подменял транзакции, которые люди подписывали, чтобы сделать обмен в интерфейсе. Чтобы понять, что случилось нужно сперва чутка окунуться в черную дыру фронтенда, под названием npm. Одна из популярных библиотек для проигрывания анимаций lottie была обновлена без ведома разработчиков библиотеки, патч содержал в себе код, который веротянее всего переопределял глобальный эфириум провайдер, через который и происходит связь между экстеншеном вашего кошелька и web3 приложением. Все библиотеки, что использует веб приложение описаны в специальном конфиге и перед деплоем в прод сервер с нуля устанавливает все зависимости и затем собирает приложение, в этот момент установщик зависимостей может обновить версию библиотеки, если ее версия жестко не зафиксирована в конфиге проекта. Обычно это нужно, чтобы микро фиксы библиотек могли сразу выходить в свет не дожидаясь, пока каждый проект руками ее обновит, но в реальности такой подход может привести к очень печальным последствиям. Мы в HOT Wallet стараемся отказываться от внешних зависимостей и жестко контролировать чужой код, который используем, а так же фиксировать версии библиотек, если они все же необходимы. В этой истории виноваты разработчики lottieFiles, которые умудрились потерять ключи от своей учетной записи npm, куда заливаются обновления библиотек. Это позволило злоумышленникам атаковать разом множество сайтов, которые достаточно мало времени уделили безопасности своих зависимостей. Эта история еще раз напомнила нам, что действительно имеет первостепенную важность в любом проекте.

⌛ Хакеры взломали интерфейс 1inch Команда 1inch подтвердила, что интерфейс их web dApp был взломан, что привело к появлению вредоносных запросов на подключение и подпись транзакций в кошельках пользователей. Пострадавшим от атаки пользователям команда обещает полное возмещение утраченных средств. #CryptoNews CRYPTOTALK ЧАТ

Компания LottieFiles подтвердила, что ее программное обеспечение Lottie-Player подверлось атаке на цепочку поставок, целью которой стала кража криптовалюты у жертв. Lottie-Player от LottieFiles широко используется для встраивания и воспроизведения анимаций Lottie на веб-сайтах. Все началось того, что в начале неделе пользователи Lottie-Player начали массово жаловаться, что их веб-сайты стали отображать всплывающее окно, предлагающее посетителям подключить свой криптовалютный кошелек для дальнейшего слива с него крипты. LottieFiles оперативно инциировала расследование и установила, что злоумышленник смог распространить несколько вредоносных версий пакета NPM с открытым исходным кодом для веб-плеера. По данным LottieFiles злоумышленник создал вредоносный Lottie-Player после того, как реализовал захват учетной записи NPM сотрудника в результате успешной фишинговой атаки. Ноутбук сотрудника был помещен на карантин в ожидании экспертизы. После чего злоумышленник задействовал токен доступа, принадлежащий разработчику, для публикации версий 2.0.5, 2.0.6 и 2.0.7 Lottie-Player на npmjs.com в течение часа. Безопасная версия 2.0.8 была опубликована всего через несколько часов после обнаружения инцидента. Предварительное расследование показало, что библиотеки с открытым исходным кодом LottieFiles, код, репозитории GitHub и SaaS не были затронуты, но компания продолжает полный аудит всех систем, учетных данных и кодовых баз. Точное число жертв и сумма потерянной в результате этой схемы криптовалюты на данный момент устанавливаются. В ответ на инцидент компания лишила своих разработчиков доступа к репозиториям NPM и отозвала ключи. Однако несмотря на почти мгновенную реакцию и быстрое удаление вредоносных версий, они успели распространиться среди большого количества пользователей через сторонние CDN, что позволило злоумышленнику добиться своей цели. Согласно сведениям Scam Sniffer, по крайней мере одна жертва, предположительно, рассталась со своими битками на сумму 723 000 долларов в результате атаки на цепочку поставок LottieFiles.