اخبار روزاقتصاد

برنامه وب 1 اینچی به خطر افتاده است، ضررها باید جبران شود

برنامه وب 1 اینچی به خطر افتاده است، ضررها باید جبران شود

1 اینچ، یک صرافی غیرمتمرکز، پس از اینکه مهاجمان کد مخرب را به یک به‌روزرسانی کتابخانه انیمیشن تزریق کردند، در معرض خطر قرار گرفت و کاربران را ترغیب کرد که کیف پول‌های خود را به یک تخلیه‌کننده رمزنگاری متصل کنند.

در 30 اکتبر، کاربران 1 اینچی با پنجره‌های بازشوی مخربی مواجه شدند که به‌طور غیرمنتظره‌ای ظاهر می‌شدند و از آن‌ها می‌خواستند کیف پول‌های خود را متصل کنند. این اعلان‌ها که از طریق کد در معرض خطر در کتابخانه محبوب انیمیشن Lottie Player جاسازی شده‌اند، کاربران را به عنوان درخواست اتصال کیف پول، طبق شرکت امنیتی web3 Blockaid.

در گزارش پس از حادثه، 1inch اشاره کرد که فقط وب آن dApp تحت تأثیر قرار گرفت و همه پلتفرم‌های دیگر، از جمله برنامه تلفن همراه و سرویس‌های API آن، بی‌تأثیر باقی ماندند. بدون افشای میزان ضرر، تیم اشاره کرد که ممکن است برخی از کاربران تحت تأثیر قرار گرفته باشند، اما اطمینان دادند که ضررها بازپرداخت خواهند شد.

توسعه‌دهندگان از کاربران خواسته‌اند تا «تأییدات ERC20 را از آدرس‌های مخرب لغو کنند» و افزودند که «مدیریت وابستگی را برای افزایش امنیت تقویت می‌کنند».

چه اتفاقی افتاد؟

به گفته محقق امنیت سایبری گال ناگلی، این نقض از یک بزرگ – مقیاس حمله زنجیره تامین به کتابخانه انیمیشن Lottie Player.

Lottie Player که به طور گسترده برای انیمیشن های وب استفاده می شود، توسط شرکت های بزرگی مانند اپل، اسپاتیفای و دیزنی برای ایجاد رابط های کاربری جذاب استفاده می شود.

مهاجمان ابتدا حساب GitHub یک مهندس نرم افزار ارشد در LottieFiles، ناشر کتابخانه Lottie Player را نقض کردند. با استفاده از این دسترسی، مهاجمان سه به‌روزرسانی مخرب را در مدت سه ساعت ارسال کردند. این به‌روزرسانی‌ها حاوی کدی بودند که یک پنجره بازشو مخرب را به وب‌سایت‌هایی که از کتابخانه استفاده می‌کردند تزریق می‌کرد.

در حالی که به گفته ناگلی، حمله در ابتدا شرکت‌های web3 را هدف قرار داده بود، او هشدار داد که سایر وب‌سایت‌هایی که از نسخه‌های کتابخانه آسیب‌دیده استفاده می‌کنند آسیب‌پذیر هستند. 

در زمان انتشار، کتابخانه‌های آسیب‌دیده از GitHub حذف شدند و از کاربران خواسته شد تا به آخرین نسخه ارتقا دهند.

در یک پست 31 اکتبر X، شرکت امنیت سایبری Scam Sniffer اشاره کرد که حداقل یک قربانی پس از امضای یک تراکنش فیشینگ، 10 بیت کوین به ارزش تقریبی 723,436 دلار در آن زمان را از دست داده است.

ماهیت پیچیده کلاهبرداری های رمزنگاری

در 17 اکتبر، Blockaid حمله دیگری را گزارش کرد که در آن مهاجمان کدهای مخرب را برای مطالعه Ambient Finance، یک صرافی غیرمتمرکز. در آن نمونه، مهاجمان از کیت Inferno Drainer استفاده می کردند.

در ژانویه، ScamSniffer پرچم گذاری کرد یک حمله فیشینگ که از کدهای عملیاتی استفاده شده در زبان های برنامه نویسی پلتفرم های مختلف ارزهای دیجیتال برای تخلیه 4.2 میلیون دلاری aEthWETH و aEthUNI استفاده می کند.

سال گذشته، شرکت امنیتی گزارش کرد یک تخلیه کننده کیف پول از یک اسکریپت مخرب برای هدف قرار دادن بیش از 10000 وب سایت و سرقت دارایی های رمزنگاری استفاده می کند.

در طول سال‌ها، چندین تخلیه‌کننده کیف پول داشته‌اند. تعطیل به دلیل پیشرفت های امنیتی در فضای رمزنگاری و ایجاد ابتکاراتی مانند SEAL 911. با این حال، مهاجمان همچنان روش های جدید برای فرار از این دفاع ها.

مطالب تحلیلی منتشرشده در مجله خالق صرفاً جنبهٔ آموزشی و ارائهٔ اطلاعات دارد و به هیچ‌ عنوان توصیه سرمایه‌گذاری و سیگنال خرید و فروش نیست. سرمایه‌گذاری در بازار ارزهای دیجیتال با ریسک بالایی همراه است و کاربر موظف است قبل از هرگونه سرمایه‌گذاری، مطالعه و تحلیل شخصی خود در رابطه با دارایی موردنظر را انجام دهد.

مدیر مجله

یه پسر آبان ماهی با افکار پیچیده و تنیده از خشم علاقه زیادی به گسترش وب و وبسایت نویسی داره ،یه پسر از دل سنگ های آبی کهکشانی که هیچکس نمیتونه دستش رو بخونه و از 1399 تا حالا تو دنیای وب سرگردان و آموزش دیدن است

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا