1-Zoll-Web-App kompromittiert, Verluste müssen erstattet werden

Als erfahrener Cybersicherheitsforscher mit über einem Jahrzehnt Erfahrung habe ich eine ganze Reihe von Verstößen und Angriffen erlebt. Der jüngste Vorfall mit 1inch ist eine weitere deutliche Erinnerung an die Komplexität von Krypto-Betrügereien und das ständige Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern.

1inch, eine Plattform, die dezentrale Börsen sammelt, wurde angegriffen, als Hacker schädlichen Code in eine aktualisierte Animationsbibliothek einfügten. Dies führte dazu, dass Benutzer ihre digitalen Geldbörsen unwissentlich mit einem Tool verknüpften, das zum Abschöpfen von Kryptowährungsbeständen entwickelt wurde.

Am 30. Oktober sahen sich ahnungslose 1-Zoll-Benutzer aus dem Nichts mit verdächtigen Popups konfrontiert, die sie aufforderten, ihre digitalen Geldbörsen zu verknüpfen. Diese scheinbar legitimen Eingabeaufforderungen, die böswillig über kompromittierten Code in die weit verbreitete Lottie Player-Animationsbibliothek eingefügt wurden, führten Benutzer tatsächlich zu einem Betrug namens „Ace Drainer“, getarnt als normale Wallet-Verbindungsanfrage, wie das Web3-Sicherheitsunternehmen Blockaid berichtet.

Im Bericht von 1inch nach dem Vorfall heißt es, dass nur die dezentrale Webanwendung (dApp) betroffen sei, während alle anderen Plattformen wie die mobile App und die API-Dienste weiterhin funktionsfähig seien. Obwohl die genaue Höhe des Schadens nicht bekannt gegeben wurde, deutete das Team an, dass einige Benutzer möglicherweise betroffen waren. Sie garantierten jedoch, dass etwaige Verluste ausgeglichen würden.

Als Forscher rate ich allen Benutzern, „ERC20-Genehmigungen von potenziell schädlichen Wallets zu entziehen“, als Teil unserer laufenden Bemühungen, „unser Abhängigkeitsmanagementsystem für mehr Sicherheit zu verbessern und zu stärken“.

Was ist passiert?

Nach Erkenntnissen des Cybersicherheitsexperten Gal Nagli wurde der Vorfall durch einen weit verbreiteten Angriff auf die Lieferkette ausgelöst, der auf die Animationsbibliothek des Lottie Players abzielte.

Lottie Player wird häufig in Webanimationen eingesetzt und wird häufig von namhaften Unternehmen wie Apple, Spotify und Disney verwendet, um fesselnde Benutzererlebnisse zu entwickeln.

Zunächst infiltrierten Hacker das GitHub-Konto eines wichtigen Softwareentwicklers bei LottieFiles, der die Lottie Player-Bibliothek verwaltet. Anschließend nutzten sie diesen Zugang aus, um innerhalb von drei Stunden drei schädliche Updates zu veröffentlichen. Der Inhalt dieser Updates enthielt Code, der heimlich ein bösartiges Popup auf Websites einfügte, die die Bibliothek nutzten.

Nagli zufolge war das ursprüngliche Ziel des Angriffs zwar Web3-Unternehmen, er warnte jedoch davor, dass Websites, die die betroffenen Bibliotheksversionen verwenden, immer noch gefährdet sein könnten.

Derzeit wurden die betroffenen Bibliotheken von GitHub entfernt. Benutzern wird empfohlen, stattdessen auf die neueste Version zu aktualisieren.

Wie Scam Sniffer in einem aktuellen Update berichtete, wurde am 31. Oktober erwähnt, dass mindestens eine Person nach einer unbeabsichtigten Überweisung aufgrund eines Phishing-Betrugs einen Verlust von etwa 10 Bitcoins erlitten hat, was zu diesem Zeitpunkt etwa 723.436 US-Dollar entspricht.

Vor 3 Stunden hat eine Person aufgrund eines Phishing-Betrugs unbeabsichtigt 10 Bitcoins (entspricht 723.436 US-Dollar) überwiesen, nachdem sie auf eine betrügerische Transaktion geklickt hatte.

Dieser Vorfall steht möglicherweise im Zusammenhang mit dem jüngsten Angriff auf die Lieferkette ist heute im Lottie Player aufgetreten.

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 31. Oktober 2024

Die Komplexität von Krypto-Betrügereien

Am 17. Oktober kam es laut dem Bericht von Blockaid zu einem weiteren Cybervorfall im Zusammenhang mit Ambient Finance, einer dezentralen Börse. In diesem Fall geht man davon aus, dass die Angreifer schädliche Software eingefügt haben, um die Sicherheit von Ambient Finance zu gefährden. Insbesondere sollen sie bei ihrem Angriff das Inferno Drainer-Toolkit eingesetzt haben.

Anfang Januar entdeckte ScamSniffer ein Phishing-Programm, das die in mehreren Kryptowährungs-Skriptsprachen üblichen Betriebscodes manipulierte. Dieser Angriff führte zum Diebstahl von aEthWETH- und aEthUNI-Token im Wert von etwa 4,2 Millionen US-Dollar.

Zuvor hatte ein Sicherheitsunternehmen aufgedeckt, dass ein Dieb-Tool, das schädlichen Code verwendet, dazu verwendet wurde, Kryptowährungen von mehr als 10.000 verschiedenen Websites zu erschleichen und diese auszunutzen.

Im Laufe der Zeit haben zahlreiche Kryptowährungs-Wallet-Entleerer aufgrund von Verbesserungen in der Sicherheitslandschaft und Initiativen wie SEAL 911 ihren Betrieb eingestellt. Dennoch entwickeln Gegner immer wieder innovative Methoden, um diese Schutzmaßnahmen zu umgehen. Als Forscher auf diesem Gebiet bin ich ständig auf der Suche nach neuen Taktiken dieser Angreifer, um sicherzustellen, dass unsere Abwehr wirksam bleibt.

Weiterlesen

2024-10-31 11:30