1inch bị hack, chèn mã độc vào các tệp JSON của thư viện Lottie Player (sử dụng cho dApp), theo Blockaid
by: Vietnam PhamPosted on:

1inch bị hack, chèn mã độc vào các tệp JSON của thư viện Lottie Player (sử dụng cho dApp), theo Blockaid

Số người xem bài viết (Post Views): 23

Tags: ,

1inch, một trong những sàn giao dịch phi tập trung (DEX) lớn nhất, vừa bị tấn công chuỗi cung ứng. Vụ việc này đã gióng lên hồi chuông cảnh tỉnh về những lỗ hổng bảo mật trong ngành công nghiệp DeFi và khiến cho các nhà đầu tư phải đặt câu hỏi về sự an toàn của tài sản kỹ thuật số của họ. Cụ thể, cuộc tấn công nhắm vào Lottie Player, một thư viện hoạt hình phổ biến được sử dụng bởi nhiều ứng dụng phi tập trung (dApp) và trang web phi tiền điện tử.

Tấn công chuỗi cung ứng là gì?

Tấn công chuỗi cung ứng (Supply Chain Attack) là một dạng tấn công mạng nhắm vào các điểm yếu trong chuỗi cung ứng của một công ty hoặc tổ chức, thay vì tấn công trực tiếp vào mục tiêu chính. Nói cách khác, thay vì tấn công trực tiếp vào hệ thống của 1inch, kẻ tấn công đã nhắm vào một phần tử trung gian trong chuỗi cung ứng, đó là Lottie Player.

Để hiểu rõ hơn, hãy tưởng tượng một chuỗi cung ứng như sau:

  • Nhà sản xuất: Tạo ra sản phẩm hoặc dịch vụ.
  • Nhà cung cấp: Cung cấp nguyên liệu hoặc dịch vụ cho nhà sản xuất.
  • Nhà phân phối: Phân phối sản phẩm hoặc dịch vụ đến end-user.
  • Người tiêu dùng: Sử dụng sản phẩm hoặc dịch vụ.

Trong một cuộc tấn công chuỗi cung ứng, kẻ tấn công có thể nhắm vào bất kỳ điểm nào trong chuỗi này, chẳng hạn như:

  • Nhà cung cấp: Kẻ tấn công có thể chèn mã độc vào phần mềm hoặc phần cứng được cung cấp cho nhà sản xuất.
  • Nhà phân phối: Kẻ tấn công có thể tấn công vào hệ thống của nhà phân phối để đánh cắp dữ liệu hoặc chặn việc phân phối sản phẩm.
  • Người tiêu dùng: Kẻ tấn công có thể tạo ra các sản phẩm giả mạo hoặc giả mạo thông tin sản phẩm để lừa dối người tiêu dùng.

Trong trường hợp của 1inch, kẻ tấn công đã nhắm vào Lottie Player, một thư viện hoạt hình được sử dụng bởi nhiều trang web, bao gồm cả 1inch. Bằng cách chèn mã độc vào Lottie Player, kẻ tấn công có thể ảnh hưởng đến bất kỳ trang web nào sử dụng thư viện này, bao gồm cả 1inch.

1inch bị tấn công thông qua thư viện Lottie Player

Sự việc bắt đầu khi Lottie Player, một thư viện hoạt hình phổ biến được sử dụng bởi nhiều ứng dụng phi tập trung (dApp) và trang web phi tiền điện tử, bị tấn công. Những kẻ tấn công đã chèn mã độc vào các tệp JSON của Lottie Player, khiến cho các trang web sử dụng thư viện này có thể bị khai thác để thực hiện các giao dịch trái phép.

Theo nhiều bài đăng trên X (trước đây là Twitter), 1inch và TEN Finance là những nạn nhân được xác nhận của cuộc tấn công này. Tuy nhiên, số lượng nạn nhân có thể cao hơn nhiều, bởi vì cuộc tấn công nhắm vào các phiên bản Lottie Player 2.0.5 trở lên. Điều này có nghĩa là bất kỳ trang web nào sử dụng các phiên bản này đều có khả năng bị tấn công.

Mã độc được chèn vào Lottie Player như thế nào?

Theo Blockaid, cuộc tấn công bắt nguồn từ việc xâm phạm máy chủ nội dung của Lottie Player, nơi một gói npm độc hại được sử dụng để phân phối mã bị thay đổi. Các nhà nghiên cứu bảo mật đã xác nhận rằng các tập lệnh trái phép đã được chèn vào gói này. Các kẻ tấn công đã tận dụng một điểm yếu trong quy trình quản lý gói của Lottie Player để chèn mã độc vào thư viện. Điều này cho thấy rằng thậm chí các thư viện phổ biến và được tin tưởng cũng có thể bị tấn công.

Blockaid viết trên X: “Các trang web hợp pháp (bao gồm cả phi tiền điện tử) hiện đang phục vụ nội dung độc hại, bao gồm mã chống gỡ lỗi. @LottieFiles, có vẻ như kẻ tấn công đã quản lý để đẩy các phiên bản độc hại của gói của bạn, với một phiên bản khác đang được tải lên.”

1inch khuyến cáo người dùng tránh sử dụng trang web

Tại thời điểm viết bài này, 1inch vẫn chưa đưa ra bất kỳ tuyên bố chính thức nào về vụ tấn công. Tuy nhiên, nhóm Lottie Player đã xác nhận rằng họ đã xác định được nguyên nhân của vụ tấn công và đang nỗ lực để loại bỏ các phiên bản bị ảnh hưởng. Họ đang làm việc để vá lỗ hổng bảo mật và phát hành các phiên bản mới của Lottie Player.

Người dùng được khuyến cáo nên tránh kết nối ví hoặc tương tác với các nền tảng bị ảnh hưởng cho đến khi các vấn đề bảo mật được giải quyết hoàn toàn. “Đừng kết nối ví của bạn với 1inch cho đến khi có thông báo từ 1inch. Hãy cẩn thận với những gì bạn nhấp vào”, một bài đăng trên kênh Discord của 1inch viết.

Các vụ hack trong ngành crypto tiếp tục leo thang

Vụ tấn công 1inch là ví dụ mới nhất về sự gia tăng tấn công mạng trong ngành công nghiệp tiền điện tử. Trong những năm gần đây, đã có nhiều vụ tấn công lớn nhắm vào các sàn giao dịch, ví tiền điện tử và các nền tảng DeFi.

Ví dụ:

  • Vụ hack Radiant Capital: Kẻ tấn công đã đánh cắp hơn 50 triệu đô la từ Radiant Capital, một nền tảng cho vay DeFi, bằng cách chiếm quyền kiểm soát các khóa riêng của công ty.
  • Vụ hack Bitfinex: Năm 2016, kẻ tấn công đã đánh cắp 72 triệu đô la từ sàn giao dịch Bitfinex. Chính phủ Hoa Kỳ đã thu giữ được 3,6 tỷ đô la từ những kẻ tấn công Bitfinex, nhưng gần đây đã bị đánh cắp 20 triệu đô la từ quỹ này.

Mặc dù các vụ tấn công mạng trong ngành công nghiệp tiền điện tử đang gia tăng, nhưng các hoạt động điều tra và truy tố cũng đang được đẩy mạnh. Gần đây, FBI đã bắt giữ một người đàn ông 25 tuổi ở Alabama, Eric Council Jr., vì cáo buộc hack tài khoản X của SEC. Council bị cáo buộc đã đăng tin giả về việc phê duyệt ETF Bitcoin, gây ảnh hưởng đáng kể đến thị trường.

Trong năm 2024, các vụ hack tiền điện tử đã vượt quá 2,1 tỷ đô la, với các nền tảng CeFi chịu thiệt hại nặng nề nhất.

Bảng Tổng Hợp Các Vụ Hack Tiền Điện Tử Nổi Bật Năm 2024:

Nền tảngSố tiền bị mấtLoại tấn công
Radiant CapitalHơn 50 triệu đô laTấn công khóa riêng
Bitfinex20 triệu đô laTấn công chuỗi cung ứng
1inchChưa được xác địnhTấn công chuỗi cung ứng

Nhận xét

Vụ tấn công 1inch là một lời nhắc nhở rằng ngành công nghiệp tiền điện tử vẫn còn rất non trẻ và dễ bị tổn thương. Sự an toàn của các tài sản kỹ thuật số là một vấn đề nghiêm trọng, và các nhà đầu tư cần phải thận trọng khi đưa ra quyết định đầu tư. Theo Click Digital, việc tăng cường bảo mật và bảo vệ thông tin là một nhiệm vụ cấp bách đối với các nền tảng tiền điện tử. Việc quản lý an ninh mạng kém hiệu quả và thiếu những biện pháp bảo mật phù hợp khiến cho các nền tảng tiền điện tử trở thành mục tiêu dễ dàng cho các cuộc tấn công.

Kết luận

Mặc dù các vụ tấn công mạng đang gia tăng, nhưng ngành công nghiệp tiền điện tử cũng đang học hỏi từ những sai lầm của mình. Các nền tảng DeFi đang đầu tư nhiều hơn vào bảo mật, và các cơ quan quản lý đang tăng cường nỗ lực để điều tra và truy tố những kẻ tấn công. Mọi người cần phải nâng cao nhận thức về những rủi ro tiềm ẩn khi tham gia vào thị trường tiền điện tử và cần phải tìm hiểu kỹ về các nền tảng mà họ sử dụng.

Có thể thấy rằng, các vụ hack đang trở thành một thách thức lớn đối với ngành crypto. Tuy nhiên, với sự chung tay của các nhà phát triển, nhà đầu tư và các cơ quan quản lý, ngành crypto có thể vượt qua những thách thức này và tiếp tục phát triển một cách an toàn và bền vững.

[+++]

Lưu ý: Bài viết chỉ cung cấp góc nhìn và không phải là lời khuyên đầu tư.

Đọc các Sách chính thống về Blockchain, Bitcoin, Crypto

Combo 5 sách Bitcoin
Combo 5 sách Bitcoin
Để nhận ưu đãi giảm phí giao dịch, đăng ký tài khoản tại các sàn giao dịch sau:

👉 Nếu bạn cần Dịch vụ quảng cáo crypto, liên hệ Click Digital ngay. 🤗

Cảm ơn bạn đã đọc. Chúc bạn đầu tư thành công. 🤗

Giới thiệu token Saigon (SGN):

  • Đầu tư vào các công ty quảng cáo blockchain hàng đầu bằng cách MUA token Saigon (SGN) trên Pancakeswap: https://t.co/KJbk71cFe8/ (đừng lo lắng về tính thanh khoản, hãy trở thành nhà đầu tư sớm)
  • Được hỗ trợ bởi Công ty Click Digital
  • Nâng cao kiến thức về blockchain và crypto
  • Lợi nhuận sẽ dùng để mua lại SGN hoặc đốt bớt nguồn cung SGN để đẩy giá SGN tăng.
  • Địa chỉ token trên mạng BSC: 0xa29c5da6673fd66e96065f44da94e351a3e2af65
  • Twitter X: https://twitter.com/SaigonSGN135/
  • Staking SGN: http://135web.net/

Rate this post

Related posts:

Nhân viên SEC và các nhà phát hành Ethereum ETF thảo luận về tệp S-1, vẫn còn nhiều việc phải làmNhân viên SEC và các nhà phát hành Ethereum ETF thảo luận về tệp S-1, vẫn còn nhiều việc phải làm 1inch ra mắt thẻ ghi nợ 1inch Card, hợp tác Mastercard1inch ra mắt thẻ ghi nợ 1inch Card, hợp tác Mastercard Uniswap Labs thuê cựu giám đốc pháp lý Coinbase làm giám đốc pháp lýUniswap Labs thuê cựu giám đốc pháp lý Coinbase làm giám đốc pháp lý Thư viện Vatican sử dụng blockchain để bảo tồn văn hóa và thu hút mạnh thường quânThư viện Vatican sử dụng blockchain để bảo tồn văn hóa và thu hút mạnh thường quân Sự kiện Hack Summit 2024 của Hack VCSự kiện Hack Summit 2024 của Hack VC Nhu cầu Bitcoin sẽ tăng cao khi các tổ chức lớn tham gia, theo Giám đốc điều hành Franklin TempletonNhu cầu Bitcoin sẽ tăng cao khi các tổ chức lớn tham gia, theo Giám đốc điều hành Franklin Templeton Game Uni Apt hệ Blast có tick vàng trên X gài virus mã độc hack tài sảnGame Uni Apt hệ Blast có tick vàng trên X gài virus mã độc hack tài sản Open Campus tài trợ 1 triệu USD cho cuộc thi hackathon cho các dApp giáo dục trên EDU ChainOpen Campus tài trợ 1 triệu USD cho cuộc thi hackathon cho các dApp giáo dục trên EDU Chain Danh sách vụ hack Crypto nửa đầu năm 2024: Những vụ hack lớn khủng khiếp và bài học xương máuDanh sách vụ hack Crypto nửa đầu năm 2024: Những vụ hack lớn khủng khiếp và bài học xương máu Các chính trị gia Hoa Kỳ đến thăm các giám đốc điều hành Binance bị giam giữ ở Nigeria, yêu cầu đại sứ quán Hoa Kỳ vận động hành lang để trả tự do cho họCác chính trị gia Hoa Kỳ đến thăm các giám đốc điều hành Binance bị giam giữ ở Nigeria, yêu cầu đại sứ quán Hoa Kỳ vận động hành lang để trả tự do cho họ Hack VC raise >$100M cho quỹ đầu tư vào các công ty startup cryptoHack VC raise >$100M cho quỹ đầu tư vào các công ty startup crypto Trump tiếp đón các giám đốc điều hành công ty đào Bitcoin tại biệt thự FloridaTrump tiếp đón các giám đốc điều hành công ty đào Bitcoin tại biệt thự Florida 5 xu hướng phát triển của Bitcoin trước đợt Halving tiếp theo, giá vượt 0000, theo dự đoán của CIO Bitwise, Matt Hougan5 xu hướng phát triển của Bitcoin trước đợt Halving tiếp theo, giá vượt $250000, theo dự đoán của CIO Bitwise, Matt Hougan Cuộc họp ACDE mới nhất của Ethereum: có kế hoạch phát hành mạng thử nghiệm chuyên dụng tiếp theo để nâng cấp Pectra trong tuần tớiCuộc họp ACDE mới nhất của Ethereum: có kế hoạch phát hành mạng thử nghiệm chuyên dụng tiếp theo để nâng cấp Pectra trong tuần tới Giám đốc đầu tư của Bitwise: Danh mục đầu tư BTC+ETH có thể đạt được lợi nhuận cao hơn và ít biến động giảm giá hơn so với chỉ đầu tư vào BTCGiám đốc đầu tư của Bitwise: Danh mục đầu tư BTC+ETH có thể đạt được lợi nhuận cao hơn và ít biến động giảm giá hơn so với chỉ đầu tư vào BTC Unlock token tuần 08-14/04 trị giá 0tr: APT, GLMR, EUL, 1INCHUnlock token tuần 08-14/04 trị giá $350tr: APT, GLMR, EUL, 1INCH Chương trình airdrop độc quyền cho người dùng BNB Chain & opBNBChương trình airdrop độc quyền cho người dùng BNB Chain & opBNB Giám đốc điều hành Coinbase: Các nhà quản lý Canada hợp tác với ngành công nghiệp tiền điện tử hơn Hoa Kỳ, nhưng các nhà lập pháp lại chưa tham gia đầy đủGiám đốc điều hành Coinbase: Các nhà quản lý Canada hợp tác với ngành công nghiệp tiền điện tử hơn Hoa Kỳ, nhưng các nhà lập pháp lại chưa tham gia đầy đủ Báo cáo của “DappRadar”: Tình hình các Dapp trong quý 2/2024Báo cáo của “DappRadar”: Tình hình các Dapp trong quý 2/2024 Bitcoin Spot ETF là công cụ đầu tiên cho phép các tổ chức dễ dàng đầu tư vào Bitcoin, theo chủ tịch Binance PhápBitcoin Spot ETF là công cụ đầu tiên cho phép các tổ chức dễ dàng đầu tư vào Bitcoin, theo chủ tịch Binance Pháp Ondo Finance thuê Cựu Giám đốc Tài sản Kỹ thuật số McKinsey làm Giám đốc Chiến lượcOndo Finance thuê Cựu Giám đốc Tài sản Kỹ thuật số McKinsey làm Giám đốc Chiến lược JPMorgan: Các chủ nợ của Mt. Gox dự kiến ​​sẽ bán một số khoản phải thu Bitcoin của họ vào tháng tớiJPMorgan: Các chủ nợ của Mt. Gox dự kiến ​​sẽ bán một số khoản phải thu Bitcoin của họ vào tháng tới OKX Ventures đầu tư vào FLock: Dự án nền tảng phi tập trung cho các dApp và AI modelOKX Ventures đầu tư vào FLock: Dự án nền tảng phi tập trung cho các dApp và AI model Bộ Khoa học, Công nghệ Thông tin và Truyền thông (MSIT) của Hàn Quốc tìm Giám đốc Đầu tư cho Quỹ Metaverse trị giá .78MBộ Khoa học, Công nghệ Thông tin và Truyền thông (MSIT) của Hàn Quốc tìm Giám đốc Đầu tư cho Quỹ Metaverse trị giá $34.78M 6 công dụng của blockchain trong thú y và chăm sóc thú cưng6 công dụng của blockchain trong thú y và chăm sóc thú cưng Khối lượng vay trên các dApp DeFi giảm nhẹ trước thời điểm FOMCKhối lượng vay trên các dApp DeFi giảm nhẹ trước thời điểm FOMC Thượng viện Mỹ đề xuất ứng dụng blockchain cho an ninh quốc giaThượng viện Mỹ đề xuất ứng dụng blockchain cho an ninh quốc gia Sự tham lam của Phố Wall sẽ thúc đẩy các ETF tiền điện tử chính thống hơn cho Solana, Cardano, theo đồng sáng lập TetherSự tham lam của Phố Wall sẽ thúc đẩy các ETF tiền điện tử chính thống hơn cho Solana, Cardano, theo đồng sáng lập Tether Các chính trị gia Mỹ kêu gọi Biden giúp mang giám đốc điều hành Binance về từ NigeriaCác chính trị gia Mỹ kêu gọi Biden giúp mang giám đốc điều hành Binance về từ Nigeria Giám đốc điều hành Circle: Dự kiến sẽ có ​​sự tăng trưởng và cạnh tranh trong các stablecoin định giá bằng euroGiám đốc điều hành Circle: Dự kiến sẽ có ​​sự tăng trưởng và cạnh tranh trong các stablecoin định giá bằng euro

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *