Bộ tổng hợp sàn giao dịch phi tập trung 1inch (CRYPTO:1INCH) đã bị xâm phạm trong một cuộc tấn công chuỗi cung ứng rộng lớn khai thác các lỗ hổng trong thư viện Lottie Player phổ biến.
Sự vi phạm liên quan đến việc tiêm mã độc hại vào thư viện giao diện người dùng, ảnh hưởng đến nhiều ứng dụng phi tập trung (dApps) và các trang web không thuộc lĩnh vực tiền điện tử sử dụng Lottie Player.
Sự cố bảo mật này ảnh hưởng cụ thể đến các phiên bản Lottie Player từ 2.0.5 trở lên, nơi những kẻ tấn công nhúng kịch bản không được phép vào các tệp JSON trên các trang web bị ảnh hưởng.
Mã độc hại này cho phép thực hiện các giao dịch không được phép, gây ra rủi ro đáng kể cho tài sản và dữ liệu nhạy cảm của người dùng.
Công ty bảo mật Blockaid báo cáo, “Các trang web hợp pháp (cũng bao gồm cả trang web ngoài lĩnh vực tiền điện tử) hiện đang cung cấp nội dung độc hại, bao gồm mã né tránh gỡ lỗi.”
Người dùng được khuyến cáo mạnh mẽ không nên kết nối ví hoặc tương tác với các trang web bị xâm phạm cho đến khi các lỗ hổng bảo mật được khắc phục hoàn toàn.
Mặc dù không có ví nào bị xâm phạm được xác nhận cho đến nay, tình hình vẫn còn bấp bênh.
Theo Blockaid, cuộc tấn công bắt nguồn từ một gói npm bị xâm phạm, được phát tán thông qua máy chủ nội dung của Lottie Player.
Các báo cáo cho thấy rằng những kẻ tấn công đã xâm nhập vào thư viện và đẩy các phiên bản bị thay đổi, nhắm mục tiêu vào các nền tảng tiền điện tử như 1inch và TEN Finance.
Tuy nhiên, mức độ vi phạm đầy đủ vẫn chưa rõ ràng, với số lượng trang web bị ảnh hưởng có khả năng cao hơn.
Đội ngũ của Lottie Player đã xác định nguyên nhân gốc rễ và đang tích cực loại bỏ các phiên bản bị xâm phạm.
Họ kêu gọi người dùng đảm bảo rằng các trang web đang chạy phiên bản 2.0.4 hoặc phiên bản mới nhất 2.0.8 để đảm bảo bảo mật.
Vào thời điểm báo cáo, giá của 1inch là $0.2583.