Serangan Rantai Pasokan Meluas Membahayakan Frontend 1inch


Website aggregator decentralized exchange 1inch telah diretas bersama dengan beberapa platform lain yang menggunakan perpustakaan frontend yang sama, Lottie Player.

Peretasan berasal dari kode jahat yang disuntikkan ke dalam Lottie Player, sebuah perpustakaan animasi yang banyak digunakan oleh beberapa dApps dan situs web non-kripto. Sampai saat ini, belum ada laporan dompet pengguna yang terkompromi.

Pengguna 1inch Diingatkan untuk Tidak Melakukan Interaksi Apapun

Berdasarkan beberapa postingan di X (sebelumnya Twitter), 1inch dan TEN Finance adalah korban yang dikonfirmasi dari serangan ini sejauh ini. Namun, jumlahnya bisa jauh lebih tinggi, karena eksploitasi menargetkan versi Lottie Player 2.0.5 dan di atasnya.

Peretas dilaporkan telah menyuntikkan kode jahat ke dalam file JSON frontend dari situs web yang menggunakan versi ini. Kode ini sekarang memungkinkan situs yang terkompromi untuk melakukan transaksi tanpa izin, yang menimbulkan ancaman serius terhadap aset dan data pengguna.

Baca Juga: 9 Tips Keamanan Dompet Kripto untuk Melindungi Aset Anda

Laporan dari Blockaid menunjukkan bahwa serangan itu diperkenalkan melalui kompromi server konten Lottie Player, di mana paket npm jahat digunakan untuk mendistribusikan kode yang diubah. Blockaid dan perusahaan keamanan lainnya telah mengonfirmasi penyuntikan skrip tidak sah dalam paket tersebut.

“Situs yang sah (termasuk non kripto) sekarang menyajikan konten jahat, termasuk kode penghindaran anti-debug. @LottieFiles, sepertinya para penyerang telah berhasil mendorong versi jahat dari paket Anda, dengan versi lain yang diunggah sekarang,” tulis Blockaid dalam sebuah postingan X (sebelumnya Twitter).

Pada waktu publikasi, 1inch belum mengeluarkan pernyataan resmi tentang peretasan ini. Namun, tim Lottie Player telah mengonfirmasi bahwa mereka dapat mengidentifikasi penyebab peretasan dan sedang bekerja untuk menghapus versi yang terpengaruh.

Pengguna sangat disarankan untuk menghindari menghubungkan dompet atau berinteraksi dengan platform yang terpengaruh sampai masalah keamanan sepenuhnya terselesaikan.

Postingan komunitas di saluran Discord 1inch

Peretasan Aset Kripto Terus Meningkat 

Peretasan keamanan telah menjadi masalah yang paling mengganggu industri kripto, dan aktivitas jahat terus bertambah setiap tahun.

Baru-baru ini, peretas dilaporkan mencuri US$20 juta aset kripto dari pemerintah AS. Dana tersebut juga merupakan bagian dari US$3,6 miliar yang disita pemerintah dari peretas Bitfinex.

Pemberi pinjaman blockchain Radiant Capital mengalami salah satu peretasan terbesar tahun ini, kehilangan lebih dari US$50 juta. Peretas berhasil mengendalikan kunci pribadi perusahaan dan dengan cepat menguras aset-aset tersebut.

Baca Juga: Penipuan Media Sosial Kripto – Cara Tetap Aman

Namun, penyelidikan dan penuntutan kejahatan ini juga telah meningkat. FBT baru-baru ini menangkap peretas akun X SEC (sebelumnya Twitter). Tersangka adalah seorang pria berusia 25 tahun dari Alabama bernama Eric Council Jr.

Awal tahun ini, Council diduga meretas akun X SEC dan memposting berita palsu tentang persetujuan ETF Bitcoin, yang secara signifikan mempengaruhi pasar. Namun, pemerintah percaya bahwa Council bukanlah otak dari operasi ini dan mereka sedang mencoba menegosiasikan kesepakatan pengakuan bersalah dengannya.

Sejauh ini, peretasan kripto telah melampaui US$2,1 miliar pada tahun 2024, dengan platform CeFi mengalami kerugian terbesar.

Penyangkalan

Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli RedaksiNusa yang berbahasa Inggris.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *