Cryptocurrencies

1inch-Frontend von großem Lieferkettenangriff betroffen

Article Image

Der dezentrale Börsenaggregator 1inch (CRYPTO:1INCH) wurde in einem weit verbreiteten Supply-Chain-Angriff kompromittiert, der Schwachstellen in der beliebten Lottie Player-Bibliothek ausnutzte.

Der Angriff umfasste das Einschleusen von bösartigem Code in die Front-End-Bibliothek, was sich auf mehrere dezentrale Apps (dApps) und nicht-krypto Websites auswirkte, die Lottie Player nutzen.

Der Sicherheitsvorfall betraf speziell Lottie Player-Versionen 2.0.5 und höher, bei denen Angreifer unautorisierte Skripte in JSON-Dateien auf betroffenen Seiten einbetteten.

Dieser bösartige Code ermöglicht unautorisierte Transaktionen und stellt somit erhebliche Risiken für die Gelder und sensiblen Daten der Nutzer dar.

Das Sicherheitsunternehmen Blockaid berichtete: „Legitime Websites (auch nicht-krypto) liefern jetzt schädlichen Inhalt, einschließlich Anti-Debug-Umgehungscode.“

Den Nutzern wird dringend geraten, keine Wallets zu verbinden oder mit kompromittierten Websites zu interagieren, bis die Sicherheitslücken vollständig geschlossen sind.

Obwohl bisher keine kompromittierten Wallets bestätigt wurden, bleibt die Situation prekär.

Laut Blockaid stammt der Angriff von einem kompromittierten npm-Paket, das über Lottie Players Content-Server verbreitet wurde.

Berichten zufolge gelang es den Angreifern, die Bibliothek zu infiltrieren und veränderte Versionen zu verbreiten, um Krypto-Plattformen wie 1inch und TEN Finance ins Visier zu nehmen.

Das volle Ausmaß des Angriffs ist jedoch unklar, wobei die Zahl der betroffenen Seiten wahrscheinlich höher ist.

Das Team von Lottie Player hat die Ursache identifiziert und entfernt aktiv die kompromittierten Versionen.

Sie drängten die Nutzer, sicherzustellen, dass Websites entweder Version 2.0.4 oder die neueste 2.0.8 verwenden, um Sicherheit zu gewährleisten.

Zum Zeitpunkt der Berichterstattung lag der Preis von 1inch bei $0,2583.

AI translator disclaimer
This AI-generated translation is provided for informational purposes only and may not be completely accurate. Grafa.com is not responsible for any errors, omissions, or inaccuracies in the translation. Users should be aware of its limitations and consult a human translator for critical or sensitive matters. Grafa.com disclaims all warranties and shall not be liable for any damages arising from the use of the translation.
Disclaimer

Grafa is not a financial advisor. You should seek independent, legal, financial, taxation or other advice that relates to your unique circumstances. Grafa is not liable for any loss caused, whether due to negligence or otherwise arising from the use of, or reliance on the information provided directly or indirectly by use of this platform.

Publisher
Grafa