Der dezentrale Börsenaggregator 1inch (CRYPTO:1INCH) wurde in einem weit verbreiteten Supply-Chain-Angriff kompromittiert, der Schwachstellen in der beliebten Lottie Player-Bibliothek ausnutzte.
Der Angriff umfasste das Einschleusen von bösartigem Code in die Front-End-Bibliothek, was sich auf mehrere dezentrale Apps (dApps) und nicht-krypto Websites auswirkte, die Lottie Player nutzen.
Der Sicherheitsvorfall betraf speziell Lottie Player-Versionen 2.0.5 und höher, bei denen Angreifer unautorisierte Skripte in JSON-Dateien auf betroffenen Seiten einbetteten.
Dieser bösartige Code ermöglicht unautorisierte Transaktionen und stellt somit erhebliche Risiken für die Gelder und sensiblen Daten der Nutzer dar.
Das Sicherheitsunternehmen Blockaid berichtete: „Legitime Websites (auch nicht-krypto) liefern jetzt schädlichen Inhalt, einschließlich Anti-Debug-Umgehungscode.“
Den Nutzern wird dringend geraten, keine Wallets zu verbinden oder mit kompromittierten Websites zu interagieren, bis die Sicherheitslücken vollständig geschlossen sind.
Obwohl bisher keine kompromittierten Wallets bestätigt wurden, bleibt die Situation prekär.
Laut Blockaid stammt der Angriff von einem kompromittierten npm-Paket, das über Lottie Players Content-Server verbreitet wurde.
Berichten zufolge gelang es den Angreifern, die Bibliothek zu infiltrieren und veränderte Versionen zu verbreiten, um Krypto-Plattformen wie 1inch und TEN Finance ins Visier zu nehmen.
Das volle Ausmaß des Angriffs ist jedoch unklar, wobei die Zahl der betroffenen Seiten wahrscheinlich höher ist.
Das Team von Lottie Player hat die Ursache identifiziert und entfernt aktiv die kompromittierten Versionen.
Sie drängten die Nutzer, sicherzustellen, dass Websites entweder Version 2.0.4 oder die neueste 2.0.8 verwenden, um Sicherheit zu gewährleisten.
Zum Zeitpunkt der Berichterstattung lag der Preis von 1inch bei $0,2583.