Команда 1inch повідомила про виникнення проблем із безпекою у своєму вебзастосунку. Розробники застерегли, що зловмисники інтегрували шкідливе фішингове програмне забезпечення в децентралізований застосунок (dApp), що призвело до крадіжки активів користувачів.
Атака також торкнулася інших DeFi-проєктів, оскільки вона була пов’язана з компрометацією сервісу анімацій Lottie Player.
Представники 1inch зазначили, що інцидент стосувався виключно їхнього вебресурсу, а криптогаманець, протоколи та API залишилися неушкодженими. Команда готова відшкодувати всі підтверджені збитки.
Хакери зуміли впровадити шкідливе програмне забезпечення в dApp, скориставшись зломом бібліотеки анімацій Lottie Player.
Як з’ясувалося, зловмисники отримали доступ до облікового запису GitHub старшого інженера LottieFiles. Після цього вони завантажили три шкідливих оновлення, які вразили сайти кількох великих криптопроєктів, серед яких були 1inch, TEN Finance, DeBox та інші.
Унаслідок цього користувачі почали отримувати спливаючі вікна з пропозицією підключити свій криптогаманець. Пропозиція насправді була пасткою, що пов’язувала користувачів з шкідливим програмним забезпеченням Ace Drainer, яке є спеціальним смартконтрактом, що дозволяє зловмисникам швидко виводити кошти користувачів на свої адреси.
У 1inch повідомили, що з моменту виявлення проблеми до її усунення їм знадобилося 50 хвилин. Зараз команда проводить детальний аналіз усіх систем і працює над посиленням заходів безпеки.
Користувачам, які передали дані Ace Drainer, рекомендується відкликати всі дозволи ERC-20 для шкідливих адрес.
