Hack de 1inch : Comment la faille Lottie Player menace tout l’écosystème DeFi
Une vulnérabilité majeure vient d’être découverte dans la bibliothèque d’animation Lottie Player. Cette faille compromet actuellement plusieurs plateformes crypto, dont le célèbre agrégateur DEX 1inch, menaçant des millions d’utilisateurs à travers le monde.
Une attaque sophistiquée aux conséquences majeures
L’attaque cible spécifiquement les versions 2.0.5 et supérieures de Lottie Player. Les pirates ont réussi à injecter un code malveillant dans les fichiers JSON du front-end de nombreux sites web.
Cette manipulation permet désormais aux hackers d’effectuer des transactions non autorisées. De plus, les données personnelles et les fonds des utilisateurs sont potentiellement exposés à grande échelle.
Blockaid, entreprise spécialisée en cybersécurité, confirme que l’attaque provient d’un “package npm” compromis sur le serveur de Lottie Player. D’autres plateformes comme TEN Finance sont également touchées.
🚨 URGENT: Blockaid systems have detected a potential supply chain attack targeting dApps that use Lottie Player.
A new version of this npm packaged was deployed a couple of minutes ago, with multiple legitimate dApps now issuing malicious transactions.
More updates soon. pic.twitter.com/FRpnj11JkQ
— Blockaid (@blockaid_) October 30, 2024
Le plus inquiétant est que cette faille ne se limite pas au secteur crypto. En effet, de nombreux sites web traditionnels utilisant Lottie Player pour leurs animations sont également vulnérables.
Des mesures d’urgence mises en place
On Oct 30, 9:12 PM – 11:22 PM CET, 1inch dApp users may have encountered a malicious wallet connect and signature request.
This signature allows an attacker to drain user’s funds.
Only the 1inch web dApp was affected; the 1inch Wallet, API, and protocols were never compromised.
— 1inch (@1inch) October 31, 2024
“Seule la dApp web de 1inch a été affectée ; le portefeuille, l’API et les protocoles de 1inch n’ont jamais été compromis.”
Face à cette situation critique, les experts recommandent aux utilisateurs d’éviter toute interaction avec les plateformes concernées. Cette précaution doit être maintenue jusqu’à la résolution complète des problèmes de sécurité.
L’équipe de Lottie Player travaille actuellement sur une solution d’urgence. Elle a identifié l’origine de la faille et s’efforce de supprimer les versions compromises de sa bibliothèque.
Un écosystème crypto de plus en plus ciblé
Cette attaque s’inscrit dans une tendance inquiétante pour le secteur. En effet, plus de 2,1 milliards de dollars ont déjà été dérobés en 2024 via des hacks crypto. Les plateformes CeFi sont particulièrement touchées par ce phénomène.
Parmi les récentes victimes, on compte notamment Radiant Capital, qui a perdu plus de 50 millions de dollars. Le gouvernement américain a également été ciblé, avec un vol de 20 millions de dollars en cryptomonnaies .
Les autorités intensifient leur lutte contre la cybercriminalité. Récemment, le FBI a d’ailleurs arrêté Eric Council Jr, accusé d’avoir piraté le compte X de la SEC. Les enquêteurs négocient actuellement un accord, persuadés qu’il n’est pas le cerveau de l’opération.
Pour l’heure, 1inch n’a pas encore publié de communiqué officiel sur l’ampleur des dégâts causés par cette attaque. Néanmoins, la communauté crypto reste en alerte, craignant que d’autres plateformes ne soient touchées dans les prochains jours. Nous conseillons vivement à nos lecteurs d’utiliser revoke.cash afin de révoquer tout contrat sur votre wallet.
Cette situation rappelle l’importance cruciale de la sécurité dans l’écosystème DeFi. Les utilisateurs doivent redoubler de vigilance et suivre attentivement les recommandations des équipes de sécurité.
Lire aussi :
- La Floride pourrait investir dans les cryptomonnaies
- Masterclass #33 : Monero, la monnaie pour les investisseurs soucieux de la traçabilité
Avertissement : le contenu de cet article reflète uniquement le point de vue de l'auteur et ne représente en aucun cas la plateforme. Cet article n'est pas destiné à servir de référence pour prendre des décisions d'investissement.
Vous pourriez également aimer
Un ancien dirigeant de Coatue Management co-fonde une nouvelle société de capital-risque visant à lever jusqu'à 500 millions de dollars : rapport
Analyse rapide Michael Gilroy, ancien responsable de la fintech chez Coatue Management, une société d'investissement favorable aux cryptomonnaies, co-fonde une nouvelle société de capital-risque. La société vise à lever jusqu'à 500 millions de dollars pour son premier fonds, mais la collecte de fonds ne commencera officiellement qu'en 2025.
Le départ du président de la SEC, Gensler, suscite l'espoir de compromis dans les affaires de crypto et la réglementation
Résumé rapide Au cours des dernières années, l'agence a intenté des affaires importantes contre de grands acteurs de l'industrie, y compris contre la plateforme d'échange de cryptomonnaies Coinbase, pour ne pas s'être enregistrée légalement auprès de l'agence. L'agence pourrait également adopter une approche moins agressive et parvenir à certains compromis dans les affaires en cours.
Amazon makes another $4 billion investment in Anthropic
Share link:In this post: Amazon makes another $4 billion investment in Anthropic. Anthropic will be deploying AWS data and AI chips developed by Amazon’s cloud division. The retail giant strengthens its hold in the AI sector with an Anthropic partnership.
CBOE to launch first cash-settled index options product for spot Bitcoin ETFs
Share link:In this post: Chicago Board Options Exchange announced it would launch its first cash-settled index options related to spot BTC. The exchange network revealed that the options would be SEC-regulated based on the CBOE Bitcoin U.S ETF Index. CBOE confirmed that its Bitcoin U.S ETF index would expose market participants to spot Bitcoin ETFs.