攻撃者がアニメーションライブラリアップデートに悪意のあるコードを注入した後、1インチが侵害される

10 月 30 日、1inch ユーザーは、ウォレットへの接続を促す、予期せず表示される悪意のあるポップアップに遭遇しました。

A recent attack on 1inch, a decentralized exchange aggregator, saw attackers injecting malicious code into an animation library update to compromise users.

分散型取引所アグリゲーターである 1inch に対する最近の攻撃では、攻撃者がアニメーション ライブラリの更新に悪意のあるコードを挿入して、ユーザーを侵害することが確認されました。

The attackers specifically targeted the popular Lottie Player animation library, which is used by major companies like Apple, Spotify, and Disney for creating engaging user interfaces.

攻撃者は特に、Apple、Spotify、Disney などの大手企業が魅力的なユーザー インターフェイスを作成するために使用している人気の Lottie Player アニメーション ライブラリを標的にしました。

According to Blockaid, a web3 security firm, the attackers used this library to inject malicious popups into websites that appeared unexpectedly, urging users to connect their wallets. These prompts were designed to redirect users to a crypto drainer, known as “Ace drainer,” which was disguised as a standard wallet connection request.

Web3 セキュリティ会社 Blockaid によると、攻撃者はこのライブラリを使用して、予期せず表示された Web サイトに悪意のあるポップアップを挿入し、ユーザーにウォレットへの接続を促しました。これらのプロンプトは、標準のウォレット接続リクエストを装った「Ace ドレイナー」として知られる暗号通貨ドレイナーにユーザーをリダイレクトするように設計されています。

In a post-incident report, 1inch stated that only its web dApp was affected by this attack, while all other platforms, including its mobile app and API services, remained unaffected. The team also mentioned that some users might have been affected by this incident but assured that any losses would be refunded.

事件後の報告書で、1inch は、こ​​の攻撃の影響を受けたのは Web dApp のみであり、モバイル アプリや API サービスを含む他のすべてのプラットフォームは影響を受けなかったと述べています。チームはまた、一部のユーザーがこの事件の影響を受けた可能性があることにも言及したが、損失は返金されると保証した。

To mitigate the attack, the developers urged users to “revoke ERC20 approvals from malicious addresses” and highlighted that they were “strengthening dependency management for enhanced security.”

攻撃を軽減するために、開発者はユーザーに「悪意のあるアドレスからERC20の承認を取り消す」よう促し、「セキュリティを強化するために依存関係の管理を強化している」と強調した。

According to cybersecurity researcher Gal Nagli, the breach occurred as a part of a large-scale supply chain attack on the Lottie Player animation library. This library is widely used for web animations by companies like Apple, Spotify, and Disney to create engaging user interfaces.

サイバーセキュリティ研究者の Gal Nagli 氏によると、この侵害は Lottie Player アニメーション ライブラリに対する大規模なサプライ チェーン攻撃の一環として発生しました。このライブラリは、魅力的なユーザー インターフェイスを作成するために、Apple、Spotify、Disney などの企業によって Web アニメーションに広く使用されています。

The attackers initially breached the GitHub account of a senior software engineer at LottieFiles, the publisher of the Lottie Player library. Using this access, the attackers pushed three malicious updates within a span of three hours. These updates contained code that injected a malicious popup into websites using the library.

攻撃者は当初、Lottie Player ライブラリの発行元である LottieFiles の上級ソフトウェア エンジニアの GitHub アカウントを侵害しました。攻撃者はこのアクセスを使用して、3 時間以内に 3 つの悪意のあるアップデートをプッシュしました。これらのアップデートには、ライブラリを使用して Web サイトに悪意のあるポップアップを挿入するコードが含まれていました。

While the attack was originally targeted towards web3 firms, Nagli warned that other websites using the affected library versions also remained vulnerable. At press time, the affected libraries had been removed from GitHub, and users were asked to upgrade to the latest version.

この攻撃は当初、Web3 企業をターゲットにしていましたが、影響を受けるライブラリのバージョンを使用している他の Web サイトも依然として脆弱であると Nagli 氏は警告しました。本稿執筆時点では、影響を受けるライブラリは GitHub から削除されており、ユーザーは最新バージョンにアップグレードするよう求められました。

Cybersecurity firm Scam Sniffer reported in an Oct. 31 X post that at least one victim had lost 10 BTC, which was roughly valued at $723,436 at the time, after signing a phishing transaction, which was likely connected to the supply chain attack on Lottie Player.

サイバーセキュリティ会社Scam Snifferは、10月31日のX投稿で、少なくとも1人の被害者がフィッシング取引に署名した後、10BTC（当時の価値としておよそ723,436ドル相当）を失ったと報告した。これはLottie Playerへのサプライチェーン攻撃に関連している可能性が高い。 。