Crytpo.News
Crytpo.News . ۲ سال پیش

حمله سایبری به 1inch: سرقت 10 بیت‌کوین از کاربران با کد مخرب در کتابخانه Lottie

حمله سایبری به 1inch: سرقت 10 بیت‌کوین از کاربران با کد مخرب در کتابخانه Lottie

نفوذ به وب‌اپلیکیشن 1inch و جبران خسارات

1inch، یک تجمیع‌کننده صرافی‌های غیرمتمرکز، پس از آنکه مهاجمان کد مخربی را در به‌روزرسانی یک کتابخانه انیمیشن تزریق کردند، مورد نفوذ قرار گرفت و کاربران را به اتصال کیف پول‌های خود به یک ابزار تخلیه رمز ارز ترغیب کرد. در تاریخ 30 اکتبر، کاربران 1inch با پاپ‌آپ‌های مخربی مواجه شدند که به طور ناگهانی ظاهر می‌شدند و از آنها می‌خواستند کیف پول‌های خود را متصل کنند. این درخواست‌ها از طریق کدهای مخرب در کتابخانه انیمیشن Lottie Player تعبیه شده بود و کاربران را به «Ace drainer» هدایت می‌کرد که به‌عنوان یک درخواست اتصال کیف پول استاندارد ظاهر می‌شد.

گزارش حادثه و اقدامات امنیتی

طبق گزارش امنیتی شرکت Blockaid، تنها وب‌اپلیکیشن 1inch تحت تأثیر قرار گرفته بود و سایر پلتفرم‌ها، از جمله اپلیکیشن موبایل و خدمات API، بدون مشکل باقی ماندند. بدون افشای میزان خسارات، تیم 1inch اشاره کرد که برخی کاربران ممکن است تحت تأثیر قرار گرفته باشند، اما اطمینان داد که خسارات جبران خواهد شد. توسعه‌دهندگان از کاربران خواسته‌اند تا «مجوزهای ERC20 را از آدرس‌های مخرب لغو کنند» و افزودند که در حال «تقویت مدیریت وابستگی‌ها برای افزایش امنیت» هستند.

حمله زنجیره تأمین به Lottie Player

به گفته محقق امنیت سایبری، گال ناگلی، این نفوذ ناشی از یک حمله زنجیره تأمین بزرگ به کتابخانه انیمیشن Lottie Player بود. Lottie Player که به‌طور گسترده برای انیمیشن‌های وب استفاده می‌شود، توسط شرکت‌های بزرگی مانند Apple، Spotify و Disney برای ایجاد رابط‌های کاربری جذاب به کار می‌رود. مهاجمان ابتدا به حساب GitHub یکی از مهندسان ارشد نرم‌افزار LottieFiles، ناشر کتابخانه Lottie Player، نفوذ کردند و در عرض سه ساعت سه به‌روزرسانی مخرب منتشر کردند. این به‌روزرسانی‌ها حاوی کدی بودند که پاپ‌آپ مخربی را به وب‌سایت‌های استفاده‌کننده از این کتابخانه تزریق می‌کرد.

هشدار به سایر وب‌سایت‌ها و اقدامات بعدی

در حالی که این حمله به‌طور خاص شرکت‌های وب3 را هدف قرار داده بود، ناگلی هشدار داد که سایر وب‌سایت‌هایی که از نسخه‌های آسیب‌دیده این کتابخانه استفاده می‌کنند همچنان در معرض خطر هستند. در زمان نگارش این گزارش، کتابخانه‌های آسیب‌دیده از GitHub حذف شده و از کاربران خواسته شده تا به آخرین نسخه به‌روزرسانی کنند.

خسارات مالی و حملات مشابه

در یک پست در تاریخ 31 اکتبر، شرکت امنیت سایبری Scam Sniffer اعلام کرد که حداقل یک قربانی 10 بیتکوین (حدود 723,436 دلار در آن زمان) را پس از امضای یک تراکنش فیشینگ از دست داده است. این سرقت احتمالاً با حمله زنجیره تأمین به Lottie Player مرتبط بوده است. در تاریخ 17 اکتبر، Blockaid از حمله دیگری خبر داد که در آن مهاجمان با استفاده از کد مخرب، Ambient Finance، یک صرافی غیرمتمرکز، را تحت تأثیر قرار دادند.

در ژانویه، ScamSniffer یک حمله فیشینگ را شناسایی کرد که از کدهای عملیاتی در زبان‌های اسکریپت‌نویسی پلتفرم‌های مختلف رمز ارز برای تخلیه 4.2 میلیون دلار از aEthWETH و aEthUNI استفاده می‌کرد. سال گذشته، این شرکت امنیتی از یک ابزار تخلیه کیف پول خبر داد که با استفاده از یک اسکریپت مخرب بیش از 10,000 وب‌سایت را هدف قرار داده و دارایی‌های رمز ارزی را سرقت می‌کرد. با گذشت زمان، چندین ابزار تخلیه کیف پول به دلیل پیشرفت‌های امنیتی در فضای رمز ارز و ایجاد ابتکاراتی مانند SEAL 911 تعطیل شده‌اند، اما مهاجمان همچنان به یافتن راه‌های جدید برای دور زدن این دفاع‌ها ادامه می‌دهند.

نوشته شده توسط admin
187

نظرات

هنوز دیدگاهی ثبت نشده است.