1inch, um agregador de trocas descentralizado, foi comprometido depois de atacantes injetarem código malicioso numa atualização da biblioteca de animações, levando os utilizadores a ligar as suas carteiras a um dreno de criptomoedas.

Em 30 de outubro, os utilizadores da 1inch depararam-se com pop-ups maliciosos que apareceram inesperadamente, instando-os a ligar as suas carteiras. Estes avisos, embutidos através de código comprometido na popular biblioteca de animação Lottie Player, redirecionaram os utilizadores para o “Ace drainer” disfarçado como um pedido de ligação de carteira padrão, de acordo com a empresa de segurança web3 Blockaid.

No seu relatório pós-incidente, a 1inch observou que apenas a sua aplicação web foi afetada e todas as outras plataformas, incluindo a sua aplicação móvel e serviços de API, permaneceram intactas. Sem divulgar a extensão das perdas, a equipa sugeriu que alguns utilizadores possam ter sido afetados, mas garantiu que as perdas serão reembolsadas.

Os desenvolvedores pediram aos usuários que 'revoguem aprovações ERC20 de endereços maliciosos', acrescentando que estão 'fortalecendo o gerenciamento de dependência para maior segurança'.

O que aconteceu?

De acordo com o pesquisador de segurança cibernética Gal Nagli, a violação resultou de um ataque de cadeia de suprimentos em grande escala na biblioteca de animação Lottie Player.

O Lottie Player, amplamente utilizado para animações na web, é usado por grandes empresas como a Apple, Spotify e a Disney para criar interfaces de usuário envolventes.

Os atacantes inicialmente invadiram a conta do GitHub de um engenheiro de software sênior na LottieFiles, a editora da biblioteca Lottie Player. Usando esse acesso, os atacantes enviaram três atualizações maliciosas em um período de três horas. Essas atualizações continham código que injetava um pop-up malicioso em sites que usam a biblioteca.

Enquanto o ataque, segundo Nagli, foi originalmente direcionado para empresas web3, ele alertou que outros sites que usam as versões da biblioteca afetada permanecem vulneráveis

Neste momento, as bibliotecas afetadas foram removidas do GitHub e os utilizadores foram solicitados a atualizar para a versão mais recente.

Num post de 31 de outubro, a empresa de cibersegurança Scam Sniffer observou que pelo menos uma vítima havia perdido 10 BTC, no valor de aproximadamente 723.436 dólares na época, após assinar uma transação de phishing.

A natureza complexa das fraudes de criptomoeda

Em 17 de outubro, a Blockaid relatou outro ataque em que os invasores enviaram código malicioso para comprometer a Ambient Finance, uma exchange descentralizada. Nesse caso, os invasores estavam supostamente usando o kit Inferno Drainer.

Em janeiro, o ScamSniffer sinalizou um ataque de phishing que explorou códigos de operação usados nas linguagens de script de várias plataformas de criptomoedas para drenar $4.2 milhões de aEthWETH e aEthUNI.

No ano passado, a empresa de segurança relatou um esvaziador de carteira que empregava um script malicioso para visar mais de 10.000 sites e roubar ativos de criptomoeda.

Ao longo dos anos, várias carteiras de drenagem foram encerradas devido aos avanços de segurança no espaço criptográfico e à criação de iniciativas como SEAL 911. No entanto, os atacantes continuam a encontrar novas maneiras de evitar essas defesas.