Website aggregator decentralized exchange 1inch telah diretas bersama dengan beberapa platform lain yang menggunakan perpustakaan frontend yang sama, Lottie Player.
Peretasan berasal dari kode jahat yang disuntikkan ke dalam Lottie Player, sebuah perpustakaan animasi yang banyak digunakan oleh beberapa dApps dan situs web non-kripto. Sampai saat ini, belum ada laporan dompet pengguna yang terkompromi.
Pengguna 1inch Diingatkan untuk Tidak Melakukan Interaksi Apapun
Berdasarkan beberapa postingan di X (sebelumnya Twitter), 1inch dan TEN Finance adalah korban yang dikonfirmasi dari serangan ini sejauh ini. Namun, jumlahnya bisa jauh lebih tinggi, karena eksploitasi menargetkan versi Lottie Player 2.0.5 dan di atasnya.
Peretas dilaporkan telah menyuntikkan kode jahat ke dalam file JSON frontend dari situs web yang menggunakan versi ini. Kode ini sekarang memungkinkan situs yang terkompromi untuk melakukan transaksi tanpa izin, yang menimbulkan ancaman serius terhadap aset dan data pengguna.
Baca Juga: 9 Tips Keamanan Dompet Kripto untuk Melindungi Aset Anda
Laporan dari Blockaid menunjukkan bahwa serangan itu diperkenalkan melalui kompromi server konten Lottie Player, di mana paket npm jahat digunakan untuk mendistribusikan kode yang diubah. Blockaid dan perusahaan keamanan lainnya telah mengonfirmasi penyuntikan skrip tidak sah dalam paket tersebut.
“Situs yang sah (termasuk non kripto) sekarang menyajikan konten jahat, termasuk kode penghindaran anti-debug. @LottieFiles, sepertinya para penyerang telah berhasil mendorong versi jahat dari paket Anda, dengan versi lain yang diunggah sekarang,” tulis Blockaid dalam sebuah postingan X (sebelumnya Twitter).
Pada waktu publikasi, 1inch belum mengeluarkan pernyataan resmi tentang peretasan ini. Namun, tim Lottie Player telah mengonfirmasi bahwa mereka dapat mengidentifikasi penyebab peretasan dan sedang bekerja untuk menghapus versi yang terpengaruh.
Pengguna sangat disarankan untuk menghindari menghubungkan dompet atau berinteraksi dengan platform yang terpengaruh sampai masalah keamanan sepenuhnya terselesaikan.
Peretasan Aset Kripto Terus Meningkat
Peretasan keamanan telah menjadi masalah yang paling mengganggu industri kripto, dan aktivitas jahat terus bertambah setiap tahun.
Baru-baru ini, peretas dilaporkan mencuri US$20 juta aset kripto dari pemerintah AS. Dana tersebut juga merupakan bagian dari US$3,6 miliar yang disita pemerintah dari peretas Bitfinex.
Pemberi pinjaman blockchain Radiant Capital mengalami salah satu peretasan terbesar tahun ini, kehilangan lebih dari US$50 juta. Peretas berhasil mengendalikan kunci pribadi perusahaan dan dengan cepat menguras aset-aset tersebut.
Baca Juga: Penipuan Media Sosial Kripto – Cara Tetap Aman
Namun, penyelidikan dan penuntutan kejahatan ini juga telah meningkat. FBT baru-baru ini menangkap peretas akun X SEC (sebelumnya Twitter). Tersangka adalah seorang pria berusia 25 tahun dari Alabama bernama Eric Council Jr.
Awal tahun ini, Council diduga meretas akun X SEC dan memposting berita palsu tentang persetujuan ETF Bitcoin, yang secara signifikan mempengaruhi pasar. Namun, pemerintah percaya bahwa Council bukanlah otak dari operasi ini dan mereka sedang mencoba menegosiasikan kesepakatan pengakuan bersalah dengannya.
Sejauh ini, peretasan kripto telah melampaui US$2,1 miliar pada tahun 2024, dengan platform CeFi mengalami kerugian terbesar.
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli RedaksiNusa yang berbahasa Inggris.