1inch compromis après que des attaquants ont injecté du code malveillant dans la mise à jour de la bibliothèque d'animation

Le 30 octobre, les utilisateurs de 1inch ont rencontré des popups malveillants apparus de manière inattendue, les invitant à connecter leur portefeuille.

A recent attack on 1inch, a decentralized exchange aggregator, saw attackers injecting malicious code into an animation library update to compromise users.

Une attaque récente contre 1inch, un agrégateur d'échange décentralisé, a vu des attaquants injecter du code malveillant dans une mise à jour de la bibliothèque d'animation pour compromettre les utilisateurs.

The attackers specifically targeted the popular Lottie Player animation library, which is used by major companies like Apple, Spotify, and Disney for creating engaging user interfaces.

Les attaquants ont spécifiquement ciblé la populaire bibliothèque d'animations Lottie Player, utilisée par de grandes entreprises comme Apple, Spotify et Disney pour créer des interfaces utilisateur attrayantes.

According to Blockaid, a web3 security firm, the attackers used this library to inject malicious popups into websites that appeared unexpectedly, urging users to connect their wallets. These prompts were designed to redirect users to a crypto drainer, known as “Ace drainer,” which was disguised as a standard wallet connection request.

Selon Blockaid, une société de sécurité Web3, les attaquants ont utilisé cette bibliothèque pour injecter des popups malveillants dans des sites Web apparaissant de manière inattendue, invitant les utilisateurs à connecter leur portefeuille. Ces invites ont été conçues pour rediriger les utilisateurs vers un draineur de crypto, connu sous le nom de « Ace drainer », qui était déguisé en demande de connexion de portefeuille standard.

In a post-incident report, 1inch stated that only its web dApp was affected by this attack, while all other platforms, including its mobile app and API services, remained unaffected. The team also mentioned that some users might have been affected by this incident but assured that any losses would be refunded.

Dans un rapport post-incident, 1inch a déclaré que seule son application Web était affectée par cette attaque, tandis que toutes les autres plates-formes, y compris son application mobile et ses services API, n'étaient pas affectées. L'équipe a également mentionné que certains utilisateurs auraient pu être affectés par cet incident mais a assuré que toute perte serait remboursée.

To mitigate the attack, the developers urged users to “revoke ERC20 approvals from malicious addresses” and highlighted that they were “strengthening dependency management for enhanced security.”

Pour atténuer l'attaque, les développeurs ont exhorté les utilisateurs à « révoquer les approbations ERC20 des adresses malveillantes » et ont souligné qu'ils « renforçaient la gestion des dépendances pour une sécurité renforcée ».

According to cybersecurity researcher Gal Nagli, the breach occurred as a part of a large-scale supply chain attack on the Lottie Player animation library. This library is widely used for web animations by companies like Apple, Spotify, and Disney to create engaging user interfaces.

Selon le chercheur en cybersécurité Gal Nagli, la violation s'est produite dans le cadre d'une attaque à grande échelle de la chaîne d'approvisionnement contre la bibliothèque d'animations Lottie Player. Cette bibliothèque est largement utilisée pour les animations Web par des sociétés comme Apple, Spotify et Disney afin de créer des interfaces utilisateur attrayantes.

The attackers initially breached the GitHub account of a senior software engineer at LottieFiles, the publisher of the Lottie Player library. Using this access, the attackers pushed three malicious updates within a span of three hours. These updates contained code that injected a malicious popup into websites using the library.

Les attaquants ont initialement violé le compte GitHub d'un ingénieur logiciel senior chez LottieFiles, l'éditeur de la bibliothèque Lottie Player. En utilisant cet accès, les attaquants ont diffusé trois mises à jour malveillantes en l’espace de trois heures. Ces mises à jour contenaient du code qui injectait une fenêtre contextuelle malveillante dans les sites Web utilisant la bibliothèque.

While the attack was originally targeted towards web3 firms, Nagli warned that other websites using the affected library versions also remained vulnerable. At press time, the affected libraries had been removed from GitHub, and users were asked to upgrade to the latest version.

Bien que l'attaque visait à l'origine les sociétés Web3, Nagli a averti que d'autres sites Web utilisant les versions de bibliothèque concernées restaient également vulnérables. Au moment de mettre sous presse, les bibliothèques concernées avaient été supprimées de GitHub et les utilisateurs ont été invités à passer à la dernière version.

Cybersecurity firm Scam Sniffer reported in an Oct. 31 X post that at least one victim had lost 10 BTC, which was roughly valued at $723,436 at the time, after signing a phishing transaction, which was likely connected to the supply chain attack on Lottie Player.

La société de cybersécurité Scam Sniffer a rapporté dans un article X du 31 octobre qu'au moins une victime avait perdu 10 BTC, d'une valeur approximative de 723 436 $ à l'époque, après avoir signé une transaction de phishing, probablement liée à l'attaque de la chaîne d'approvisionnement contre Lottie Player. .