В 1inch прокомментировали взлом приложения и анонсировали возврат средств

1inch_Series_B
1inch_Series_B

30 октября пользователи децентрализованного приложения 1inch столкнулись с вредоносным запросом на подключение и подпись кошелька, что позволило злоумышленникам похитить активы. Инцидент подтвердили представители проекта.

По их словам, пострадал только 1inch dapp — 1inch Wallet, API и протоколы не были скомпрометированы. Команда гарантировала возврат похищенных средств. 

Всем затронутым пользователям рекомендовано отозвать одобрения ERC-20 с вредоносных адресов с помощью инструмента Revoke.cash, чтобы предотвратить дальнейший доступ.

Число пострадавших и объем похищенных средств не сообщается.

Причиной взлома стала атака на цепочку поставок в популярной библиотеке анимации пользовательского интерфейса Lottie Player. Конечной целью были сайты крупных криптовалютных проектов. 

По словам специалистов по кибербезопасности, компрометация привела к тому, что данные во всплывающих окнах подключения к Web3-кошельку на легитимных сайтах автоматически заменялись адресом злоумышленников.

Согласно предварительным выводам расследования, хакеры скомпрометировали токен аккаунта одного из мейнтейнеров, что позволило внедрить вредоносный код примерно в три версии менеджера пакетов NPM.

На момент написания проблема устранена, исходный зараженный пакет был удален из NPM и большинства ведущих CDN. Однако использующие уязвимую библиотеку сайты должны обновиться до безопасных версий.

Ранее провайдер криптовалютных платежей Transak подтвердил частичный доступ третьей стороны к пользовательским данным. Компания утверждает, что финансово чувствительная или критически важная информация не была скомпрометирована.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK