1inch Kullanıcıları Ace Drainer Tehdidiyle Karşı Karşıya

1inch, merkeziyetsiz borsa (DEX) toplayıcısı, animasyon kütüphanesi Lottie Player’a yapılan bir siber saldırının hedefi oldu.

Saldırganlar, bu popüler animasyon kütüphanesine zararlı kod enjekte ederek kullanıcıları cüzdanlarını bağlamaya yönlendirdi ve kripto varlıklarını boşaltmaya çalışan bir drainer aracılığıyla hesaplarına erişim sağladı.

30 Ekim’de 1inch kullanıcıları, aniden cüzdanlarını bağlamalarını isteyen kötü amaçlı açılır pencerelerle karşılaştı. Web3 güvenlik şirketi Blockaid’in analizine göre bu açılır pencereler, Lottie Player animasyon kütüphanesindeki güvenliği ihlal edilmiş kodlar üzerinden yerleştirildi.

Bu sayede kullanıcılar, standart bir cüzdan bağlantısı gibi görünen “Ace drainer” adlı zararlı yazılıma yönlendirildi.

Olay sonrası yayınladığı raporda 1inch, saldırının yalnızca web dApp’ini etkilediğini, mobil uygulama ve API hizmetlerinin bu saldırıdan zarar görmediğini belirtti. 1inch ekibi, saldırının neden olduğu kayıpların tam boyutunu açıklamasa da bazı kullanıcıların mağdur olduğunu ve zararların iade edileceğini duyurdu.

Ayrıca geliştiriciler, kullanıcıların kötü amaçlı adreslerden ERC20 izinlerini iptal etmeleri gerektiğini belirtti ve güvenliği artırmak için bağımlılık yönetimlerini güçlendirdiklerini ekledi.

Siber güvenlik araştırmacısı Gal Nagli’ye göre saldırının kaynağı, popüler Lottie Player animasyon kütüphanesine yapılan büyük çaplı bir tedarik zinciri saldırısıydı.

Apple, Spotify ve Disney gibi büyük markalar tarafından da kullanılan Lottie Player, geniş çapta web animasyonları için tercih edilen bir kütüphane. Ancak bu olay, bu tarz yaygın kullanılan kütüphanelerin güvenliğini sağlamanın kritik önem taşıdığını gösterdi.

Saldırganlar ilk olarak, Lottie Player kütüphanesinin yayımlayıcısı olan LottieFiles’ın kıdemli bir yazılım mühendisinin GitHub hesabını ele geçirdiler. Bu erişimi kullanarak, yalnızca üç saat içinde üç zararlı güncelleme yayınladılar.

Bu güncellemeler, Lottie Player kütüphanesini kullanan web sitelerine kötü amaçlı açılır pencereler yerleştiren kodlar içeriyordu. Nagli, bu saldırının özellikle web3 firmalarını hedef aldığını belirtirken, etkilenen kütüphane sürümlerini kullanan diğer web sitelerinin de risk altında olabileceğini ifade etti.

Şu an itibarıyla, zararlı kütüphaneler GitHub’dan kaldırıldı ve kullanıcılar en güncel sürüme geçmeleri konusunda uyarıldı.

Siber güvenlik şirketi Scam Sniffer, 31 Ekim’de X platformu üzerinden yaptığı bir açıklamada, kimlik avı işlemini imzalayan en az bir kullanıcının 10 BTC (yaklaşık 723.436 $) kaybettiğini belirtti.

Ayrıca, Blockaid’in 17 Ekim’de bir başka saldırıda, saldırganların merkeziyetsiz borsa Ambient Finance’i tehlikeye atmak için zararlı kod kullandığını bildirdi. Bu saldırıda, saldırganların Inferno Drainer kitini kullandığı belirtildi.

Ocak ayında ScamSniffer, çeşitli kripto platformlarının betik dillerinde kullanılan işlem kodlarını hedef alan bir kimlik avı saldırısını raporlayarak yaklaşık 4,2 milyon $ değerinde aEthWETH ve aEthUNI tokenları çalındığını duyurmuştu.

Geçtiğimiz yıl, aynı güvenlik firması, 10.000’den fazla web sitesini hedef alan ve kripto varlıklarını çalmaya yönelik kötü amaçlı bir betik kullanan başka bir cüzdan boşaltma saldırısını raporladı.

Kripto alanında güvenlik gelişmeleri ve SEAL 911 gibi inisiyatifler sayesinde yıllar içinde birçok cüzdan boşaltma aracı etkisiz hale getirilmiş olsa da saldırganlar, bu savunmalardan kaçınmak için yeni yöntemler geliştirmeye devam ediyor.

Bu olay, merkeziyetsiz finans ve kripto dünyasında güvenliğin sağlanması için kullanılan üçüncü parti kütüphanelerin güvenliğinin sıkı bir şekilde takip edilmesi gerektiğini bir kez daha ortaya koydu. 1inch, güvenlik önlemlerini artırarak bu tür saldırılardan korunma sözü verdi.