Trusted

Interruzione 1inch Frontend compromesso in un attacco alla catena di approvvigionamento diffuso

2 mins
Translated Mohammad Shahid

In breve

  • 1Inch, TEN Finance e altri colpiti da un attacco alla catena di approvvigionamento a causa di una libreria frontend Lottie Player compromessa.
  • Il codice malevolo iniettato consente transazioni non autorizzate, rappresentando rischi per i fondi e i dati personali degli utenti.
  • Gli utenti sono invitati a evitare qualsiasi interazione con i siti web; il team di Lottie Player sta lavorando a una soluzione.
  • promo


L’aggregatore di exchange decentralizzati 1inch è stato violato insieme a molteplici altre piattaforme che utilizzano la stessa libreria frontend, Lottie Player.

La violazione è originata da codice malevolo iniettato nel Lottie Player, una libreria di animazione molto usata da diversi dApps e siti non crypto. Finora, non si segnalano portafogli utente compromessi.

Utenti di 1inch avvertiti di evitare qualsiasi interazione

Secondo vari post su X (precedentemente Twitter), 1inch e TEN Finance sono le vittime confermate di questo attacco finora. Tuttavia, il numero potrebbe essere molto più alto, poiché l’exploit ha colpito le versioni di Lottie Player dalla 2,0,5 in poi.

I pirati informatici hanno iniettato codice malevolo nei file JSON frontend dei siti che usano queste versioni. Questo codice ora permette ai siti compromessi di eseguire transazioni non autorizzate, rappresentando una grave minaccia per gli asset e i dati degli utenti.

Leggi di più: 9 consigli di sicurezza per il portafoglio crypto per proteggere i tuoi asset

Le segnalazioni da Blockaid indicano che l’attacco è stato introdotto tramite un compromesso del server di contenuti di Lottie Player, dove un pacchetto npm malevolo è stato usato per distribuire codice alterato. Blockaid e altre società di sicurezza hanno confermato l’iniezione di script non autorizzati all’interno del pacchetto.

“Siti legittimi (anche non crypto) stanno ora distribuendo contenuti malevoli, inclusi codici per evitare il debug. @LottieFiles, sembra che gli attaccanti siano riusciti a inserire versioni malevole del tuo pacchetto, con un’altra versione che viene caricata ora,” ha scritto Blockaid in un post su X (precedentemente Twitter).

Al momento della scrittura, 1inch non ha rilasciato alcuna dichiarazione ufficiale sulla violazione. Tuttavia, il team di Lottie Player ha confermato di aver identificato la causa della violazione e sta lavorando per rimuovere le versioni colpite.

Si consiglia vivamente agli utenti di evitare di collegare portafogli o interagire con le piattaforme colpite fino alla completa risoluzione dei problemi di sicurezza.

1inch hack
Post della community sul canale Discord di 1inch

Gli attacchi alle crypto continuano ad aumentare 

Le violazioni di sicurezza sono state il problema più grave dell’industria crypto, e le attività malevole continuano a crescere ogni anno.

Recentemente, si ritiene che i pirati informatici abbiano rubato 20 milioni USD in criptovalute al governo degli Stati Uniti. I fondi facevano parte anche dei 3,6 miliardi USD che i federali hanno sequestrato ai pirati informatici di Bitfinex.

Il prestatore blockchain Radiant Capital ha subito uno dei più grandi attacchi di quest’anno, perdendo più di 50 milioni USD. I pirati informatici hanno ottenuto il controllo delle chiavi private della società e hanno rapidamente drenato questi asset.

Leggi di più: Truffe sui social media crypto – Come rimanere al sicuro

Tuttavia, anche l’indagine e la persecuzione di questi crimini si sono intensificate. FBT ha recentemente arrestato il pirata informatico dell’account X della SEC (precedentemente Twitter). L’accusato è un uomo dell’Alabama di 25 anni, Eric Council Jr.

All’inizio di quest’anno, Council avrebbe hackerato l’account X della SEC e pubblicato false notizie sulle approvazioni degli ETF Bitcoin, influenzando significativamente il mercato. Tuttavia, i federali credono che Council non fosse il cervello di questa operazione e stanno cercando di negoziare un accordo di patteggiamento con lui.

Finora, i furti crypto hanno superato i 2,1 miliardi USD nel 2024, con le piattaforme CeFi che subiscono i colpi più grandi.

Top piattaforme di crypto in Italia | Ottobre 2024
YouHodler YouHodler Esplorare
Wirex App Wirex App Esplorare
Coinbase Coinbase Esplorare
Top piattaforme di crypto in Italia | Ottobre 2024
YouHodler YouHodler Esplorare
Wirex App Wirex App Esplorare
Coinbase Coinbase Esplorare
Top piattaforme di crypto in Italia | Ottobre 2024

Dichiarazione di non responsabilità

Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.