هجوم واسع النطاق على سلسلة التوريد يستهدف واجهة 1inch


تم اختراق موقع مجمع تبادل لامركزي 1inch بالإضافة إلى عدة منصات أخرى تستخدم نفس مكتبة واجهة المستخدم، Lottie Player.

نشأ الاختراق من كود ضار تم حقنه في Lottie Player، وهي مكتبة الرسوم المتحركة المستخدمة على نطاق واسع من قبل العديد من التطبيقات اللامركزية ومواقع الويب غير المتعلقة بالعملات المشفرة. حتى الآن، لم يتم الإبلاغ عن تعرض أي محافظ مستخدمين للخطر.

تحذير لمستخدمي 1inch من أي تفاعلات

وفقًا لعدة منشورات على X (المعروف سابقًا بتويتر)، فإن 1inch وTEN Finance هما الضحيتان المؤكدتان لهذا الهجوم حتى الآن. ومع ذلك، قد يكون العدد أكبر بكثير، حيث استهدف الاستغلال إصدارات Lottie Player 2.0.5 وما فوق.

يُقال إن القراصنة قد حقنوا كودًا ضارًا في ملفات JSON الأمامية للمواقع التي تستخدم هذه الإصدارات. يتيح هذا الكود الآن للمواقع المخترقة تنفيذ معاملات غير مصرح بها، مما يشكل تهديدًا خطيرًا لأصول وبيانات المستخدمين.

👈 اقرأ المزيد: الأموال الذكية: كيف يحدد الحيتان نقاط الدعم والمقاومة في 2024؟

تشير التقارير من Blockaid إلى أن الهجوم تم تقديمه من خلال اختراق خادم محتوى Lottie Player، حيث تم استخدام حزمة npm ضارة لتوزيع الكود المعدل. لقد أكدت Blockaid وشركات الأمان الأخرى حقن البرامج النصية غير المصرح بها داخل الحزمة.

“المواقع الشرعية (غير المتعلقة بالعملات المشفرة أيضًا) تقدم الآن محتوى ضار، بما في ذلك كود تجنب التصحيح التلقائي. @LottieFiles، يبدو أن المهاجمين تمكنوا من دفع إصدارات ضارة من حزمتك، مع تحميل إصدار آخر الآن،” كتبت Blockaid في منشور على X (المعروف سابقًا بتويتر) post.

في وقت كتابة هذا التقرير، لم يصدر 1inch أي بيان رسمي بشأن الاختراق. ومع ذلك، أكد فريق Lottie Player أنهم تمكنوا من تحديد سبب الاختراق ويعملون على إزالة الإصدارات المتأثرة.

يُنصح المستخدمون بشدة بتجنب ربط المحافظ أو التفاعل مع المنصات المتأثرة حتى يتم حل مشكلات الأمان بشكل كامل.

اختراق 1inch
منشور المجتمع على قناة 1inch Discord

استمرار تصاعد هجمات العملات المشفرة

كانت الاختراقات الأمنية هي القضية الأكثر إلحاحًا في صناعة العملات المشفرة، وتستمر الأنشطة الضارة في النمو كل عام.

في الآونة الأخيرة، سرق قراصنة ما يقدر بـ 20 مليون دولار من العملات المشفرة من الحكومة الأمريكية. كما كانت الأموال جزءًا من 3,6 مليار دولار التي صادرتها السلطات من قراصنة بيتفينكس.

تعرضت شركة الإقراض القائمة على البلوكتشين راديانت كابيتال لأحد أكبر الاختراقات هذا العام، حيث خسرت أكثر من 50 مليون دولار. استولى القراصنة على مفاتيح الشركة الخاصة واستنزفوا هذه الأصول بسرعة.

👈 اقرأ المزيد: دليل شامل لفهم ترميز أصول العالم الحقيقي (RWA) وتأثيرها على الاقتصاد

ومع ذلك، فقد تكثفت أيضًا التحقيقات والملاحقات القضائية لهذه الجرائم. اعتقلت الـ FBT مؤخرًا قرصان حساب الـ SEC X (المعروف سابقًا بتويتر). المتهم هو شاب من ألاباما يحمل اسم إريك كونسيل جونيور، يبلغ من العمر 25 عامًا.

في وقت سابق من هذا العام، يُزعم أن كونسيل قد اخترق حساب الـ SEC’s X ونشر أخبارًا كاذبة حول موافقات صناديق بيتكوين المتداولة في البورصة، مما أثر بشكل كبير على السوق. ومع ذلك، تعتقد السلطات أن كونسيل لم يكن العقل المدبر لهذه العملية وهم يحاولون التفاوض على صفقة اعتراف معه.

حتى الآن، تجاوزت اختراقات العملات المشفرة 2,1 مليار دولار في عام 2024، حيث تعرضت منصات CeFi لأكبر الضربات.


العلامات: