1inch 网络攻击:黑客利用乐蒂播放器的漏洞

黑客利用了流行的网络动画库 Lottie Player 中的一个关键漏洞,导致供应链攻击,入侵了去中心化金融(DeFi)平台 1inch 和其他一些平台。这一漏洞凸显了人们对 DeFi 生态系统安全性日益增长的担忧,突显了广泛使用的软件工具是如何成为网络攻击的载体的。
据Beincrypto称,攻击者利用了基于JavaScript的Lottie Player中的一个漏洞,该播放器可在各种平台上实时呈现动画。利用这一漏洞,攻击者可以直接向 1inch 用户界面注入恶意代码,从而危及该平台去中心化应用程序(dApps)的安全。当用户与 1inch 交互时,他们在不知情的情况下激活了恶意脚本,从而有可能将自己的数据、钱包和私人信息暴露给黑客。
1inch 用户须知
1inch 是一家领先的去中心化交易所(DEX)聚合商,通过从多个平台获取流动性,帮助用户找到最佳的代币兑换率。这次攻击引起了人们的关注,因为它似乎是针对 DeFi 应用程序的供应链攻击大趋势的一部分,在这一趋势中,Lottie Player 等广泛使用的软件工具被用来绕过传统的安全协议。这种性质的供应链攻击特别阴险,因为它们利用了用户和开发人员通常认为安全的软件和库中的依赖关系。
Loading...
发现漏洞后,1inch 迅速采取了行动来减轻损失,发布了一份声明,向用户通报了这一事件,并建议他们更新钱包访问设置,避免与平台上可能受到攻击的元素进行交互,直至另行通知。Lottie Player 的开发团队也被告知了这一漏洞,据说他们正在努力解决这一问题,防止今后再发生类似的攻击。
安全专家警告说,这一事件反映了通常集成到 DeFi 平台中的开源软件组件的脆弱性,这些组件通常被认为是可靠的,但也可能隐藏着未知的漏洞。随着数十亿美元在 DeFi 生态系统中流通,这些平台正成为黑客的目标,他们看到了通过第三方漏洞渗透系统的机会。
这次攻击标志着 1inch 和整个 DeFi 行业的一个重要时刻,促使人们加强对开源工具的审查,并强化了对各平台进行严格安全审计的必要性。展望未来,DeFi 开发者可能会面临压力,要求他们采取更有力的安全措施,保护用户免受日益复杂的网络威胁。
我们曾报道过李小龙家族公司宣布与去中心化金融(DeFi)平台 1inch 建立战略合作伙伴关系,以促进 DeFi 技术的更广泛应用。