1inch và nhiều nền tảng khác bị tấn công đồng loạt vì lỗi này
Trang web của trình tổng hợp giao dịch phi tập trung 1inch đã bị tấn công cùng với nhiều nền tảng khác sử dụng thư viện giao diện Lottie Player.
Vụ vi phạm bắt ngầu từ mã độc được nhắm vào Lottie Player, một thư viện hoạt hình được sử dụng rộng rãi bởi nhiều Dapp và các trang web không phải tiền điện tử. Cho đến nay, chưa có báo cáo nào về việc ví người dùng bị xâm phạm.
Người dùng 1inch được cảnh báo không tương tác
Theo nhiều bài đăng trên X (trước đây là Twitter), 1inch và TEN Finance là những nạn nhân đã được xác nhận của cuộc tấn công này cho đến nay. Tuy nhiên, con số này có thể cao hơn nhiều, vì lỗ hổng nhắm vào các phiên bản Lottie Player từ 2.0.5 trở lên.
Hacker được cho là đã cài mã độc vào các tệp JSON giao diện của các trang web sử dụng các phiên bản này. Mã này hiện cho phép các trang bị xâm phạm thực hiện các giao dịch không được phép, đe dọa nghiêm trọng đến tài sản và dữ liệu của người dùng.
Báo cáo từ Blockaid cho biết cuộc tấn công được diễn ra thông qua việc xâm nhập vào máy chủ nội dung của Lottie Player, nơi một gói npm độc hại được sử dụng để phân phối mã đã chỉnh sửa. Blockaid và các công ty bảo mật khác đã xác nhận việc cài các script không được phép trong gói.
“Các trang web hợp pháp (bao gồm cả không phải tiền điện tử) hiện đang phục vụ nội dung độc hại, bao gồm cả mã né tránh gỡ lỗi. @LottieFiles, có vẻ như kẻ tấn công đã có thể đẩy các phiên bản độc hại của gói của bạn, với một phiên bản khác đang được tải lên ngay bây giờ,”
Blockaid đã viết trong một bài đăng trên X (trước đây là Twitter) đã chia sẻ .
Tại thời điểm viết bài, 1inch chưa phát hành bất kỳ tuyên bố chính thức nào về vụ vi phạm. Tuy nhiên, nhóm Lottie Player đã xác nhận rằng họ đã xác định được nguyên nhân của vụ tấn công và đang làm việc để loại bỏ các phiên bản bị ảnh hưởng. Người dùng được khuyến cáo nghiêm ngặt tránh kết nối ví hoặc tương tác với các nền tảng bị ảnh hưởng cho đến khi các vấn đề bảo mật được giải quyết hoàn toàn.
Bài đăng cộng đồng trên kênh Discord của 1inchCác vụ hack tiền mã hóa tiếp tục leo thang
Các vụ vi phạm bảo mật đã là vấn đề gây phiền toái nhất của ngành công nghiệp tiền điện tử, và các hoạt động độc hại tiếp tục tăng lên hàng năm. Gần đây nhất, hacker được cho là đã đánh cắp 20 triệu USD tiền điện tử từ Chính phủ Mỹ . Số tiền này cũng là một phần của 3.6 tỷ USD mà chính phủ đã thu giữ từ các hacker Bitfinex. Nhà cho vay trên blockchain Radiant Capital đã trải qua một trong những vụ hack lớn nhất trong năm nay, mất hơn 50 triệu USD. Các hacker đã kiểm soát các khóa riêng của công ty và nhanh chóng rút các tài sản này.
Tuy nhiên, việc điều tra và truy tố những tội phạm này cũng đã được tăng cường. FBI gần đây đã bắt giữ kẻ tấn công tài khoản SEC X (trước đây là Twitter). Người bị buộc tội là một người đàn ông 25 tuổi ở Alabama tên là Eric Council Jr. Đầu năm nay, Council được cho là đã hack tài khoản X của SEC và đăng tin giả mạo về việc phê duyệt ETF Bitcoin, ảnh hưởng đáng kể đến thị trường. Tuy nhiên, chính phủ tin rằng Council không phải là người đứng đầu của hoạt động này và họ đang cố gắng thương lượng một thỏa thuận nhận tội với anh ta.
Cho đến nay, các vụ hack tiền điện tử đã vượt quá 2.1 tỷ USD vào năm 2024, với các nền tảng CeFi chịu thiệt hại nặng nề nhất.
Tham gia Cộng đồng BeInCrypto trên Telegram để cập nhật các bài phân tích, tin tức mới nhất về thị trường tài chính nói chung và tiền tiền đử nói riêng nhé.
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
SEC phân phối 4,6 triệu đô la cho các nhà đầu tư chịu thiệt hại từ ICO BitClave
Đã ra mắt SCRTUSDT cho bot giao dịch và giao dịch futures.
Bitget đã ra mắt SCRTUSDT dành cho giao dịch futures với đòn bẩy tối đa là 75, cùng với hỗ trợ cho bot giao dịch futures vào 21/11/2024 (UTC+8) Chào mừng bạn trải nghiệm giao dịch futures thông qua website chính thức (www.bitget.com) hoặc ứng dụng Bitget của chúng tôi. Futures vĩnh cửu SCRTUSDT-M:
Sòng bạc tiền điện tử Monkey Tilt huy động 30 triệu đô la trong vòng Series A do Pantera Capital dẫn đầu
Tóm tắt nhanh Sòng bạc tiền điện tử Monkey Tilt đã huy động được 30 triệu đô la trong vòng gọi vốn Series A do Pantera Capital dẫn đầu. Khoản tài trợ mới nhất này nâng tổng số vốn mà Monkey Tilt đã huy động lên hơn 50 triệu đô la.
Mạng Sui đối mặt với 'sự cố lớn' khi các trình xác thực ngừng hoạt động
Tóm tắt nhanh Mạng Sui đã ngừng hoạt động gần hai giờ. Đội ngũ dường như đang điều tra vấn đề này.