Кібератака на 1inch: Хакери експлуатують вразливість у програвачі Lottie Player

Хакери скористалися критичною вразливістю в Lottie Player, популярній бібліотеці веб-анімації, що призвело до атаки на ланцюжок поставок, яка скомпрометувала платформу децентралізованих фінансів (DeFi) 1inch та деякі інші платформи. Це порушення підкреслює зростаюче занепокоєння щодо безпеки в екосистемі DeFi, підкреслюючи, наскільки широко використовувані програмні інструменти можуть стати векторами для кібератак.
За даними Beincrypto, зловмисники використали вразливість в JavaScript-програвачі Lottie Player, який відтворює анімацію в режимі реального часу на різних платформах. Цей експлойт дозволив зловмисникам впровадити шкідливий код безпосередньо в інтерфейс користувача 1inch, що поставило під загрозу безпеку децентралізованих додатків (dApps) платформи. Коли користувачі взаємодіяли з 1inch, вони несвідомо активували шкідливі скрипти, потенційно наражаючи хакерів на небезпеку свої дані, гаманці та приватну інформацію.
Застереження для користувачів 1inch
1inch, провідний агрегатор децентралізованих обмінів (DEX), допомагає користувачам знаходити найкращі курси обміну токенів, отримуючи ліквідність з різних платформ. Ця атака викликала занепокоєння, оскільки вона є частиною більш широкої тенденції атак на ланцюжки поставок, спрямованих на DeFi-додатки, де широко використовувані програмні інструменти, такі як Lottie Player, використовуються для обходу традиційних протоколів безпеки. Атаки на ланцюжки поставок такого роду є особливо підступними, оскільки вони використовують залежності в програмному забезпеченні та бібліотеках, які користувачі та розробники часто вважають безпечними.
Loading...
Виявивши пролом, 1inch швидко вжив заходів для зменшення шкоди, опублікувавши заяву, в якій поінформував користувачів про інцидент і порекомендувавши їм оновити налаштування доступу до своїх гаманців та уникати взаємодії з потенційно скомпрометованими елементами платформи до подальших повідомлень. Команда розробників Lottie Player також була попереджена про вразливість і, як повідомляється, працює над її усуненням і запобіганням подібним атакам у майбутньому.
Експерти з безпеки попереджають, що цей інцидент відображає вразливість компонентів програмного забезпечення з відкритим вихідним кодом, які зазвичай інтегровані в DeFi-платформи, що вважаються надійними, але можуть містити невідомі експлойти. Оскільки в екосистемі DeFi циркулюють мільярди доларів, ці платформи стають привабливими цілями для хакерів, які бачать можливості проникнення в системи через сторонні вразливості.
Ця атака знаменує собою важливий момент для 1inch і DeFi-сектору в цілому, спонукаючи до посиленої уваги до інструментів з відкритим вихідним кодом і посилюючи потребу в ретельному аудиті безпеки на всіх платформах. У майбутньому розробники DeFi-технологій можуть зіткнутися з необхідністю вживати більш жорстких заходів безпеки, щоб захистити своїх користувачів від кіберзагроз, які стають все більш витонченими.
Раніше ми повідомляли, що Bruce Lee Family Company оголосила про стратегічне партнерство з 1inch, платформою децентралізованих фінансів (DeFi), щоб сприяти більш широкому впровадженню технології DeFi.