Hack de 1inch : Comment la faille Lottie Player menace tout l’écosystème DeFi
Une vulnérabilité majeure vient d’être découverte dans la bibliothèque d’animation Lottie Player. Cette faille compromet actuellement plusieurs plateformes crypto, dont le célèbre agrégateur DEX 1inch, menaçant des millions d’utilisateurs à travers le monde.
Une attaque sophistiquée aux conséquences majeures
L’attaque cible spécifiquement les versions 2.0.5 et supérieures de Lottie Player. Les pirates ont réussi à injecter un code malveillant dans les fichiers JSON du front-end de nombreux sites web.
Cette manipulation permet désormais aux hackers d’effectuer des transactions non autorisées. De plus, les données personnelles et les fonds des utilisateurs sont potentiellement exposés à grande échelle.
Blockaid, entreprise spécialisée en cybersécurité, confirme que l’attaque provient d’un “package npm” compromis sur le serveur de Lottie Player. D’autres plateformes comme TEN Finance sont également touchées.
🚨 URGENT: Blockaid systems have detected a potential supply chain attack targeting dApps that use Lottie Player.
A new version of this npm packaged was deployed a couple of minutes ago, with multiple legitimate dApps now issuing malicious transactions.
More updates soon. pic.twitter.com/FRpnj11JkQ
— Blockaid (@blockaid_) October 30, 2024
Le plus inquiétant est que cette faille ne se limite pas au secteur crypto. En effet, de nombreux sites web traditionnels utilisant Lottie Player pour leurs animations sont également vulnérables.
Des mesures d’urgence mises en place
On Oct 30, 9:12 PM – 11:22 PM CET, 1inch dApp users may have encountered a malicious wallet connect and signature request.
This signature allows an attacker to drain user’s funds.
Only the 1inch web dApp was affected; the 1inch Wallet, API, and protocols were never compromised.
— 1inch (@1inch) October 31, 2024
“Seule la dApp web de 1inch a été affectée ; le portefeuille, l’API et les protocoles de 1inch n’ont jamais été compromis.”
Face à cette situation critique, les experts recommandent aux utilisateurs d’éviter toute interaction avec les plateformes concernées. Cette précaution doit être maintenue jusqu’à la résolution complète des problèmes de sécurité.
L’équipe de Lottie Player travaille actuellement sur une solution d’urgence. Elle a identifié l’origine de la faille et s’efforce de supprimer les versions compromises de sa bibliothèque.
Un écosystème crypto de plus en plus ciblé
Cette attaque s’inscrit dans une tendance inquiétante pour le secteur. En effet, plus de 2,1 milliards de dollars ont déjà été dérobés en 2024 via des hacks crypto. Les plateformes CeFi sont particulièrement touchées par ce phénomène.
Parmi les récentes victimes, on compte notamment Radiant Capital, qui a perdu plus de 50 millions de dollars. Le gouvernement américain a également été ciblé, avec un vol de 20 millions de dollars en cryptomonnaies .
Les autorités intensifient leur lutte contre la cybercriminalité. Récemment, le FBI a d’ailleurs arrêté Eric Council Jr, accusé d’avoir piraté le compte X de la SEC. Les enquêteurs négocient actuellement un accord, persuadés qu’il n’est pas le cerveau de l’opération.
Pour l’heure, 1inch n’a pas encore publié de communiqué officiel sur l’ampleur des dégâts causés par cette attaque. Néanmoins, la communauté crypto reste en alerte, craignant que d’autres plateformes ne soient touchées dans les prochains jours. Nous conseillons vivement à nos lecteurs d’utiliser revoke.cash afin de révoquer tout contrat sur votre wallet.
Cette situation rappelle l’importance cruciale de la sécurité dans l’écosystème DeFi. Les utilisateurs doivent redoubler de vigilance et suivre attentivement les recommandations des équipes de sécurité.
Lire aussi :
- La Floride pourrait investir dans les cryptomonnaies
- Masterclass #33 : Monero, la monnaie pour les investisseurs soucieux de la traçabilité
Avertissement : le contenu de cet article reflète uniquement le point de vue de l'auteur et ne représente en aucun cas la plateforme. Cet article n'est pas destiné à servir de référence pour prendre des décisions d'investissement.
Vous pourriez également aimer
L'AMF autorise les opérations crypto pour une filiale de BPCE
Le concours Stellar #BetterOnStellar
Aperçu rapide Votre chance de partager votre créativité et de façonner l'avenir du web.
Les layer-2 d'Ethereum détiennent un approvisionnement record en stablecoins
Top & flop crypto : Hyperliquid décroche un nouvel ATH