برنامه وب 1 اینچی به خطر افتاده است، ضررها باید جبران شود
1 اینچ، یک صرافی غیرمتمرکز، پس از اینکه مهاجمان کد مخرب را به یک بهروزرسانی کتابخانه انیمیشن تزریق کردند، در معرض خطر قرار گرفت و کاربران را ترغیب کرد که کیف پولهای خود را به یک تخلیهکننده رمزنگاری متصل کنند.
در 30 اکتبر، کاربران 1 اینچی با پنجرههای بازشوی مخربی مواجه شدند که بهطور غیرمنتظرهای ظاهر میشدند و از آنها میخواستند کیف پولهای خود را متصل کنند. این اعلانها که از طریق کد در معرض خطر در کتابخانه محبوب انیمیشن Lottie Player جاسازی شدهاند، کاربران را به عنوان درخواست اتصال کیف پول، طبق شرکت امنیتی web3 Blockaid.
در گزارش پس از حادثه، 1inch اشاره کرد که فقط وب آن dApp تحت تأثیر قرار گرفت و همه پلتفرمهای دیگر، از جمله برنامه تلفن همراه و سرویسهای API آن، بیتأثیر باقی ماندند. بدون افشای میزان ضرر، تیم اشاره کرد که ممکن است برخی از کاربران تحت تأثیر قرار گرفته باشند، اما اطمینان دادند که ضررها بازپرداخت خواهند شد.
توسعهدهندگان از کاربران خواستهاند تا «تأییدات ERC20 را از آدرسهای مخرب لغو کنند» و افزودند که «مدیریت وابستگی را برای افزایش امنیت تقویت میکنند».
چه اتفاقی افتاد؟
به گفته محقق امنیت سایبری گال ناگلی، این نقض از یک بزرگ – مقیاس حمله زنجیره تامین به کتابخانه انیمیشن Lottie Player.
Lottie Player که به طور گسترده برای انیمیشن های وب استفاده می شود، توسط شرکت های بزرگی مانند اپل، اسپاتیفای و دیزنی برای ایجاد رابط های کاربری جذاب استفاده می شود.
مهاجمان ابتدا حساب GitHub یک مهندس نرم افزار ارشد در LottieFiles، ناشر کتابخانه Lottie Player را نقض کردند. با استفاده از این دسترسی، مهاجمان سه بهروزرسانی مخرب را در مدت سه ساعت ارسال کردند. این بهروزرسانیها حاوی کدی بودند که یک پنجره بازشو مخرب را به وبسایتهایی که از کتابخانه استفاده میکردند تزریق میکرد.
در حالی که به گفته ناگلی، حمله در ابتدا شرکتهای web3 را هدف قرار داده بود، او هشدار داد که سایر وبسایتهایی که از نسخههای کتابخانه آسیبدیده استفاده میکنند آسیبپذیر هستند.
در زمان انتشار، کتابخانههای آسیبدیده از GitHub حذف شدند و از کاربران خواسته شد تا به آخرین نسخه ارتقا دهند.
در یک پست 31 اکتبر X، شرکت امنیت سایبری Scam Sniffer اشاره کرد که حداقل یک قربانی پس از امضای یک تراکنش فیشینگ، 10 بیت کوین به ارزش تقریبی 723,436 دلار در آن زمان را از دست داده است.
ماهیت پیچیده کلاهبرداری های رمزنگاری
در 17 اکتبر، Blockaid حمله دیگری را گزارش کرد که در آن مهاجمان کدهای مخرب را برای مطالعه Ambient Finance، یک صرافی غیرمتمرکز. در آن نمونه، مهاجمان از کیت Inferno Drainer استفاده می کردند.
در ژانویه، ScamSniffer پرچم گذاری کرد یک حمله فیشینگ که از کدهای عملیاتی استفاده شده در زبان های برنامه نویسی پلتفرم های مختلف ارزهای دیجیتال برای تخلیه 4.2 میلیون دلاری aEthWETH و aEthUNI استفاده می کند.
سال گذشته، شرکت امنیتی گزارش کرد یک تخلیه کننده کیف پول از یک اسکریپت مخرب برای هدف قرار دادن بیش از 10000 وب سایت و سرقت دارایی های رمزنگاری استفاده می کند.
در طول سالها، چندین تخلیهکننده کیف پول داشتهاند. تعطیل به دلیل پیشرفت های امنیتی در فضای رمزنگاری و ایجاد ابتکاراتی مانند SEAL 911. با این حال، مهاجمان همچنان روش های جدید برای فرار از این دفاع ها.