В 1inch прокоментували злам застосунку й анонсували повернення коштів

30 жовтня користувачі децентралізованого застосунку 1inch зіткнулися зі шкідливим запитом на підключення і підпис гаманця, що дало змогу зловмисникам викрасти активи. Інцидент підтвердили представники проєкту.

За їхніми словами, постраждав тільки 1inch dapp — 1inch Wallet, API та протоколи не були скомпрометовані. Команда гарантувала повернення викрадених коштів.

Усім постраждалим користувачам рекомендовано відкликати схвалення ERC-20 зі шкідливих адрес за допомогою інструменту Revoke.cash, щоб запобігти подальшому доступу.

Кількість постраждалих і обсяг викрадених коштів не повідомляють.

Причиною злому стала атака на ланцюжок постачання у популярній бібліотеці анімації користувацького інтерфейсу Lottie Player. Кінцевою метою були сайти великих криптовалютних проєктів.

За словами фахівців із кібербезпеки, компрометація призвела до того, що дані у вікнах підключення до Web3-гаманця на легітимних сайтах автоматично замінювалися адресою зловмисників.

Згідно з попередніми висновками розслідування, хакери скомпрометували токен акаунта одного з мейнтейнерів, що дало змогу впровадити шкідливий код приблизно в три версії менеджера пакетів NPM.

На момент написання проблему усунуто, вихідний заражений пакет було видалено з NPM і більшості провідних CDN. Однак сайти, які використовують вразливу бібліотеку, повинні оновитися до безпечних версій.

Раніше провайдер криптовалютних платежів Transak підтвердив частковий доступ третьої сторони до даних користувачів. Компанія стверджує, що фінансово чутлива або критично важлива інформація не була скомпрометована.

Источник

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *