Le site de 1inch, un agrégateur d’échanges décentralisés, a récemment subi une attaque de sécurité via une vulnérabilité dans la bibliothèque Lottie Player. Les cyberattaquants ont injecté du code malveillant, pouvant entraîner des transactions non autorisées sur les plateformes affectées. Bien que l’attaque ait principalement touché 1inch, il est suggéré que d’autres sites pourraient également être impactés. En réponse, 1inch remboursera les utilisateurs touchés et a fourni des recommandations pour sécuriser leurs comptes.
Le site de 1inch, une plateforme bien connue dans l’univers des altcoins, a récemment été confronté à un problème de sécurité majeur. Il a été rapporté que l’agrégateur d’échanges décentralisés 1inch, tout comme d’autres plateformes, a subi une faille de sécurité liée à une bibliothèque d’animation nommée Lottie Player. Des spécialistes en sécurité révèlent que des hackers ont réussi à injecter un code malveillant dans cette bibliothèque, utilisée dans un grand nombre d’applications décentralisées (dApps) ainsi que dans divers sites internet.
Incidents de sécurité impliquant 1inch et TEN Finance
De nombreux utilisateurs sur X (anciennement Twitter) ont signalé que des échanges cryptographiques comme 1inch et TEN Finance ont été touchés par cette cyberattaque. Les experts pensent même que le nombre total de plateformes affectées pourrait être supérieur. Cette menace cible spécifiquement les versions 2.0.5 et supérieures de Lottie Player, et le code malveillant a la capacité d’effectuer des transactions non autorisées, mettant en péril les fonds et données des utilisateurs. Il est donc conseillé aux utilisateurs de ne pas connecter leurs portefeuilles à ces services.
Les hackers auraient inséré du code dans les fichiers JSON de Lottie Player, permettant ainsi des transactions nuisibles sur les sites concernés. Ce code se propage à travers le paquet npm hébergé sur le serveur qui fournit le contenu de Lottie Player, ce qui a été vérifié par plusieurs entreprises de sécurité. Blockaid a confirmé que des sites authentiques fournissent actuellement du contenu contaminé, et les attaquants ont indiqué qu’une nouvelle version malveillante a été déployée.
Communiqué officiel de 1inch
À travers diverses publications sur la plateforme X, il a été confirmé que l’altcoin 1inch et TEN Finance sont parmi les victimes de cette attaque. Les experts estiment que cette problématique pourrait toucher d’autres sites. Cette série de failles de sécurité a gravement compromis les actifs de nombreux utilisateurs, mettant en lumière les insuffisances des mesures de sécurité en place. Dans un communiqué officiel, 1inch a précisé que l’attaque a eu lieu le 30 octobre. Selon leurs déclarations, seule la dApp web de 1inch a subi des dégâts, tandis que 1inch Wallet, l’API, et d’autres protocoles n’ont pas été affectés.
Entre 21h12 et 23h22 le 30 octobre, les utilisateurs de la dApp 1inch ont pu rencontrer un lien malveillant vers un portefeuille qui demandait une signature. Cette signature permettait aux attaquants de siphonner les fonds. En réponse, l’équipe de 1inch a annoncé qu’elle compenserait les utilisateurs touchés par l’attaque en fonction de leurs pertes. Pour aider les utilisateurs à sécuriser leurs comptes, des recommandations ont été faites, comme utiliser le site revoke.cash pour annuler les permissions ERC20 des adresses malveillantes. Les utilisateurs peuvent également obtenir une aide supplémentaire en contactant le support via la dApp ou par email.
La montée des incidents de piratage dans l’univers crypto
Les vulnérabilités dans l’univers des crypto-monnaies deviennent un véritable fléau, avec une augmentation notable des activités malveillantes au fil des ans. Récemment, un vol massif de près de 20 millions de dollars de crypto-monnaies au sein du gouvernement américain a mis en lumière les dangers qui guettent ce secteur. Ces fonds feraient partie des 3,6 milliards de dollars auparavant saisis lors de l’attaque de Bitfinex. En outre, Radiant Capital, un prêteur blockchain, a subi l’une des attaques les plus significatives de l’année, perdant plus de 50 millions de dollars.
Face à cette escalade, le gouvernement américain intensifie ses efforts d’enquête et de poursuite des auteurs de ces crimes. Un résident de l’Alabama, Eric Council Jr., a été appréhendé par le FBI après avoir piraté le compte X de la SEC. Council a diffusé de fausses informations sur l’approbation d’un ETF Bitcoin, provoquant de fortes fluctuations sur les marchés. Néanmoins, les autorités pensent qu’il ne s’agit pas du cerveau de l’opération, et des négociations sont en cours avec lui. En 2024, les pertes dues aux attaques liées aux crypto-monnaies ont déjà atteint plus de 2,1 milliards de dollars, les plateformes de finance centralisée étant particulièrement touchées.