डीसेंट्रलाइज्ड एक्सचेंज एग्रीगेटर 1inch की वेबसाइट के साथ-साथ उसी फ्रंटएंड लाइब्रेरी, Lottie Player का उपयोग करने वाले कई अन्य प्लेटफॉर्म्स का भी उल्लंघन हुआ है।
यह उल्लंघन Lottie Player में इंजेक्ट किए गए मैलिशियस कोड से उत्पन्न हुआ, जो कई dApps और गैर-क्रिप्टो वेबसाइटों द्वारा उपयोग की जाने वाली एक व्यापक रूप से उपयोग की जाने वाली एनीमेशन लाइब्रेरी है। अब तक, किसी भी यूजर वॉलेट के समझौता होने की खबर नहीं है।
1inch उपयोगकर्ताओं को किसी भी इंटरैक्शन से सावधान रहने की चेतावनी
X (पूर्व में Twitter) पर कई पोस्ट्स के अनुसार, 1inch और TEN Finance अब तक के पुष्ट शिकार हैं। हालांकि, यह संख्या बहुत अधिक हो सकती है, क्योंकि यह एक्सप्लॉइट Lottie Player के 2.0.5 और उससे ऊपर के संस्करणों को लक्षित करता है।
हैकर्स ने इन संस्करणों का उपयोग करने वाली वेबसाइटों की फ्रंट-एंड JSON फाइलों में मैलिशियस कोड इंजेक्ट किया है। यह कोड अब समझौता की गई साइटों को अनधिकृत लेन-देन करने की अनुमति देता है, जो उपयोगकर्ताओं की संपत्ति और डेटा के लिए गंभीर खतरा पैदा करता है।
और पढ़ें: 9 क्रिप्टो वॉलेट सुरक्षा टिप्स आपकी संपत्तियों की सुरक्षा के लिए
Blockaid की रिपोर्टों के अनुसार, यह हमला Lottie Player के कंटेंट सर्वर के समझौते के माध्यम से शुरू हुआ, जहाँ एक दुर्भावनापूर्ण npm पैकेज का उपयोग करके परिवर्तित कोड वितरित किया गया था। Blockaid और अन्य सुरक्षा फर्मों ने पैकेज के भीतर अनधिकृत स्क्रिप्ट्स के इंजेक्शन की पुष्टि की है।
“वैध साइटें (गैर क्रिप्टो भी) अब मैलिशियस कंटेंट सर्व कर रही हैं, जिसमें एंटी-डीबग इवेज़न कोड शामिल है। @LottieFiles, ऐसा लगता है कि हमलावरों ने आपके पैकेज के मैलिशियस संस्करणों को पुश करने में सफलता प्राप्त की है, एक और संस्करण अब अपलोड किया जा रहा है,” Blockaid ने X (पूर्व में Twitter) पर एक पोस्ट में लिखा।
लेखन के समय, 1inch ने उल्लंघन पर कोई आधिकारिक बयान जारी नहीं किया है। हालांकि, Lottie Player टीम ने पुष्टि की है कि उन्होंने उल्लंघन के कारण की पहचान कर ली है और वे प्रभावित संस्करणों को हटाने पर काम कर रहे हैं।
उपयोगकर्ताओं को सख्ती से सलाह दी जाती है कि वे सुरक्षा मुद्दों के पूरी तरह से हल होने तक वॉलेट्स को कनेक्ट करने या प्रभावित प्लेटफॉर्म्स के साथ इंटरैक्ट करने से बचें।
क्रिप्टो हैक्स में वृद्धि जारी है
क्रिप्टो उद्योग के लिए सुरक्षा उल्लंघन सबसे बड़ी समस्या रही है, और हर साल मैलिशियस गतिविधियाँ बढ़ती जा रही हैं।
हाल ही में, हैकर्स ने कथित तौर पर $20 मिलियन मूल्य की क्रिप्टोकरेंसीज़ अमेरिकी सरकार से चुरा ली। ये फंड्स उस $3.6 बिलियन का भी हिस्सा थे जो फेड्स ने Bitfinex हैकर्स से जब्त किया था।
ब्लॉकचेन लेंडर Radiant Capital इस साल के सबसे बड़े हैक्स में से एक का शिकार हुआ, जिसमें उसने $50 मिलियन से अधिक की हानि उठाई। हैकर्स ने फर्म की प्राइवेट कीज़ पर नियंत्रण प्राप्त कर लिया और तेजी से इन एसेट्स को खाली कर दिया।
और पढ़ें: क्रिप्टो सोशल मीडिया स्कैम्स – सुरक्षित कैसे रहें
हालांकि, इन अपराधों की जांच और अभियोजन भी तेज हो गई है। FBT ने हाल ही में SEC X (पूर्व में Twitter) अकाउंट हैकर को गिरफ्तार किया। आरोपी एक 25 वर्षीय अलबामा का व्यक्ति एरिक काउंसिल जूनियर है।
इस साल के शुरू में, काउंसिल ने कथित तौर पर SEC के X अकाउंट को हैक किया और Bitcoin ETF अनुमोदनों के बारे में झूठी न्यूज़ पोस्ट की, जिससे बाजार पर काफी प्रभाव पड़ा। फिर भी, फेड्स का मानना है कि काउंसिल इस ऑपरेशन का मास्टरमाइंड नहीं था और वे उसके साथ सौदेबाजी करने की कोशिश कर रहे हैं।
अब तक, क्रिप्टो हैक्स ने 2024 में $2.1 बिलियन से अधिक का आंकड़ा पार कर लिया है, जिसमें CeFi प्लेटफॉर्म्स सबसे बड़ी मार झेल रहे हैं।
