【速報】 1inchフロントエンド、広範囲のサプライチェーン攻撃に遭う

分散型取引所アグリゲーター1inchのウェブサイトが31日、同じフロントエンドライブラリ「Lottie Player」を使用する複数のプラットフォームと共に侵害された。

この侵害は、多くのdAppsや非暗号資産ウェブサイトで使用されている広く使われているアニメーションライブラリ「Lottie Player」に悪意のあるコードが注入されたことに起因する。現時点で、ユーザーのウォレットが侵害されたとの報告はない。

1inchユーザー、全ての交流に警戒

Xの複数の投稿によると、1inchとTEN Financeがこの攻撃の確認された被害者である。しかし、標的とされたLottie Playerのバージョン2.0.5以上を使用しているウェブサイトが多いため、被害者の数はもっと多い可能性がある。

ハッカーは、これらのバージョンを使用するウェブサイトのフロントエンドJSONファイルに悪意のあるコードを注入したと報告されている。このコードにより、侵害されたサイトは無許可の取引を実行できるようになり、ユーザーの資産とデータに重大な脅威をもたらしている。

関連記事: 【2024年版】ベストAIセキュリティ・ソリューション・ガイド

Blockaid からの報告によると、攻撃はLottie Playerのコンテンツサーバーが侵害され、改変されたコードを配布するために悪意のあるnpmパッケージが使用されたことで導入された。Blockaidおよび他のセキュリティ企業がパッケージ内の無許可スクリプトの注入を 確認 した。

“正規のサイト（非暗号資産サイトも含む）が悪意のあるコンテンツを提供しています。アンチデバッグ回避コードも含まれています。@LottieFiles、攻撃者があなたのパッケージの悪意のあるバージョンを押し出し、現在新しいバージョンがアップロードされているようです。”とBlockaidはXの 投稿 で書いた。

本稿執筆時点で、 1inch は侵害に関する公式声明を発表していない。しかし、Lottie Playerチームは侵害の原因を特定できたと確認し、影響を受けたバージョンの削除作業に取り組んでいる。

ユーザーは、セキュリティ問題が完全に解決されるまで、ウォレットの接続や影響を受けたプラットフォームとのやり取りを避けるよう厳重に注意されている。

1inch Discordチャンネルのコミュニティ投稿

暗号資産ハック、激増し続ける

セキュリティ侵害は暗号資産業界の最も深刻な問題であり、悪意のある活動は毎年増加している。

最近では、 ハッカーが米国政府から暗号資産2000万ドル相当を盗んだ と報告されている。この資金は、Bitfinexのハッカーから押収された36億ドルの一部でもある。

ブロックチェーン貸し手のRadiant Capitalは、今年最大のハックの一つを経験し、5000万ドル以上を失った。ハッカーは同社のプライベートキーを制御し、迅速にこれらの資産を排出した。

関連記事: 暗号資産SNS詐欺 – 安全を保つ方法

しかし、これらの犯罪の調査と起訴も強化されている。 FBTは最近 SECのX（旧Twitter）アカウントハッカーを逮捕した。被告はアラバマ州の25歳の男性、エリック・カウンセル・ジュニアである。

今年初め、カウンセルはSECのXアカウントをハックし、ビットコインETFの承認に関する偽のニュースを投稿し、市場に大きな影響を与えた。しかし、当局はカウンセルがこの操作の首謀者ではないと考え、同氏との 司法取引を交渉 している。

これまでに、 暗号資産ハック の被害は2024年に21億ドルを超え、CeFiプラットフォームが最大の被害を受けている。