1inch，一个去中心化交易所聚合器，在攻击者将恶意代码注入动画库更新后遭到破坏，促使用户将他们的钱包连接到一个加密货币提取器。

10 月 30 日，1inch 用户遇到了意外出现的恶意弹窗，敦促他们连接他们的钱包。据 web3 安全公司 Blockaid 报告，这些提示是通过在流行的 Lottie Player 动画库中的受损代码嵌入的方式实现的，将用户重定向到伪装成标准钱包连接请求的“Ace drainer”。

在其事后报告中，1inch指出只有其web dApp受到影响，所有其他平台，包括其移动应用和应用程序接口服务，都没有受到影响。团队暗示可能会影响一些用户，但未透露损失的程度，但保证损失将得到退还。

开发人员已敦促用户“撤销恶意地址的ERC20批准”，并补充说他们正在“加强依赖管理以增强安全性。”

发生了什么？

据网络安全研究员Gal Nagli称，这次泄露源于对Lottie Player动画库的大规模供应链攻击。

Lottie Player，广泛用于Web动画，被苹果、Spotify和迪士尼等大公司用于创建引人入胜的用户界面。

攻击者最初入侵了LottieFiles的高级软件工程师的GitHub账户，LottieFiles是Lottie Player库的发布者。利用这个访问权限，攻击者在三个小时内推送了三个恶意更新。这些更新包含注入恶意弹窗代码的代码，用于使用该库的网站。

根据纳格利的说法，虽然这次攻击最初是针对web3公司的，但他警告称，仍然使用受影响库版本的其他网站仍然存在漏洞。

截至发稿时，受影响的库已从GitHub中移除，并要求用户升级到最新版本。

在10月31日的一篇X文中，网络安全公司Scam Sniffer指出，至少有一名受害者在签署了一笔钓鱼交易后失去了10比特币，当时价值约为723,436美元。

加密欺诈的复杂性

10月17日，Blockaid报告了另一起攻击事件，攻击者通过恶意代码侵入了分布式交易所Ambient Finance。据报道，攻击者当时使用了Inferno Drainer工具包。

在一月份，ScamSniffer标记了一起钓鱼攻击，利用了各种加密货币平台脚本语言中使用的操作码，将价值420万美元的aEthWETH和aEthUNI全部转移走。

去年，该安全公司报告称，一家钱包清空者利用恶意脚本瞄准超过10,000个网站，并窃取加密资产。

多年来，由于加密空间的安全进展和SEAL 911等倡议的建立，一些钱包抽干者已经关闭。然而，攻击者仍然继续寻找新的方法来规避这些防御措施。