1inch 프론트엔드, 주요 공급망 공격에 타격 받음

탈중앙화 거래소 애그리게이터 1inch (CRYPTO:1INCH)가 인기 있는 Lottie Player 라이브러리의 취약점을 악용한 대규모 공급망 공격으로 손상되었습니다.

이 위반은 프런트엔드 라이브러리에 악성 코드를 주입하여 여러 탈중앙화 앱(dApps) 및 Lottie Player를 사용하는 비암호 웹사이트에 영향을 미쳤습니다.

보안 사고는 특히 Lottie Player 버전 2.0.5 이상에 영향을 미쳤으며, 여기서 공격자가 영향을 받은 사이트의 JSON 파일에 무단 스크립트를 삽입했습니다.

이 악성 코드는 무단 거래를 가능하게 하여 사용자의 자금과 민감한 데이터에 상당한 위험을 초래합니다.

보안 회사 Blockaid는 “정상 웹사이트(비암호 웹사이트 포함)가 이제 디버그 방지 코드와 같은 유해 콘텐츠를 제공하고 있습니다.”라고 보고했습니다.

사용자는 보안 결함이 완전히 해결될 때까지 지갑을 연결하거나 손상된 웹사이트와 상호작용하지 않도록 강력히 권장됩니다.

현재까지 손상된 지갑은 확인되지 않았지만 상황은 여전히 불안정합니다.

Blockaid에 따르면 공격은 손상된 npm 패키지에서 시작됐으며, 이는 Lottie Player의 콘텐츠 서버를 통해 배포되었습니다.

보고에 따르면 공격자는 라이브러리를 침투하고 변조된 버전을 배포하여 1inch 및 TEN Finance와 같은 암호 플랫폼을 대상으로 했습니다.

그러나 위반의 전체 범위는 불분명하며 영향을 받은 사이트 수는 더 많을 가능성이 높습니다.

Lottie Player 팀은 근본 원인을 파악하고 손상된 버전을 적극적으로 제거하고 있습니다.

그들은 사용자가 사이트가 보안을 보장하기 위해 버전 2.0.4 또는 최신 2.0.8을 실행하고 있는지 확인할 것을 권장했습니다.

보고 당시 1inch 가격은 $0.2583입니다.