1inch và nhiều nền tảng khác bị tấn công đồng loạt vì lỗi này

Trang web của trình tổng hợp giao dịch phi tập trung 1inch đã bị tấn công cùng với nhiều nền tảng khác sử dụng thư viện giao diện Lottie Player.

Vụ vi phạm bắt ngầu từ mã độc được nhắm vào Lottie Player, một thư viện hoạt hình được sử dụng rộng rãi bởi nhiều Dapp và các trang web không phải tiền điện tử. Cho đến nay, chưa có báo cáo nào về việc ví người dùng bị xâm phạm.

Người dùng 1inch được cảnh báo không tương tác

Theo nhiều bài đăng trên X (trước đây là Twitter), 1inch và TEN Finance là những nạn nhân đã được xác nhận của cuộc tấn công này cho đến nay. Tuy nhiên, con số này có thể cao hơn nhiều, vì lỗ hổng nhắm vào các phiên bản Lottie Player từ 2.0.5 trở lên.

Hacker được cho là đã cài mã độc vào các tệp JSON giao diện của các trang web sử dụng các phiên bản này. Mã này hiện cho phép các trang bị xâm phạm thực hiện các giao dịch không được phép, đe dọa nghiêm trọng đến tài sản và dữ liệu của người dùng.

Báo cáo từ Blockaid cho biết cuộc tấn công được diễn ra thông qua việc xâm nhập vào máy chủ nội dung của Lottie Player, nơi một gói npm độc hại được sử dụng để phân phối mã đã chỉnh sửa. Blockaid và các công ty bảo mật khác đã xác nhận việc cài các script không được phép trong gói.

“Các trang web hợp pháp (bao gồm cả không phải tiền điện tử) hiện đang phục vụ nội dung độc hại, bao gồm cả mã né tránh gỡ lỗi. @LottieFiles, có vẻ như kẻ tấn công đã có thể đẩy các phiên bản độc hại của gói của bạn, với một phiên bản khác đang được tải lên ngay bây giờ,”

Blockaid đã viết trong một bài đăng trên X (trước đây là Twitter) đã chia sẻ .

Tại thời điểm viết bài, 1inch chưa phát hành bất kỳ tuyên bố chính thức nào về vụ vi phạm. Tuy nhiên, nhóm Lottie Player đã xác nhận rằng họ đã xác định được nguyên nhân của vụ tấn công và đang làm việc để loại bỏ các phiên bản bị ảnh hưởng. Người dùng được khuyến cáo nghiêm ngặt tránh kết nối ví hoặc tương tác với các nền tảng bị ảnh hưởng cho đến khi các vấn đề bảo mật được giải quyết hoàn toàn.

Các vụ hack tiền mã hóa tiếp tục leo thang

Các vụ vi phạm bảo mật đã là vấn đề gây phiền toái nhất của ngành công nghiệp tiền điện tử, và các hoạt động độc hại tiếp tục tăng lên hàng năm. Gần đây nhất, hacker được cho là đã đánh cắp 20 triệu USD tiền điện tử từ Chính phủ Mỹ . Số tiền này cũng là một phần của 3.6 tỷ USD mà chính phủ đã thu giữ từ các hacker Bitfinex. Nhà cho vay trên blockchain Radiant Capital đã trải qua một trong những vụ hack lớn nhất trong năm nay, mất hơn 50 triệu USD. Các hacker đã kiểm soát các khóa riêng của công ty và nhanh chóng rút các tài sản này.

Tuy nhiên, việc điều tra và truy tố những tội phạm này cũng đã được tăng cường. FBI gần đây đã bắt giữ kẻ tấn công tài khoản SEC X (trước đây là Twitter). Người bị buộc tội là một người đàn ông 25 tuổi ở Alabama tên là Eric Council Jr. Đầu năm nay, Council được cho là đã hack tài khoản X của SEC và đăng tin giả mạo về việc phê duyệt ETF Bitcoin, ảnh hưởng đáng kể đến thị trường. Tuy nhiên, chính phủ tin rằng Council không phải là người đứng đầu của hoạt động này và họ đang cố gắng thương lượng một thỏa thuận nhận tội với anh ta.

Cho đến nay, các vụ hack tiền điện tử đã vượt quá 2.1 tỷ USD vào năm 2024, với các nền tảng CeFi chịu thiệt hại nặng nề nhất.

Tham gia  Cộng đồng BeInCrypto trên Telegram  để cập nhật các bài phân tích, tin tức mới nhất về thị trường tài chính nói chung và tiền tiền đử nói riêng nhé.