1inch 网站遭到入侵，用户请勿进行任何互动

去中心化交易聚合器 1inch 的网站与使用相同前端库 Lottie Player 的多个其他平台一起被攻破。

去中心化交易聚合器 1inch 的网站以及使用相同前端库 Lottie Player 的多个其他平台已被攻破。

用户在与这些平台交互后报告其钱包上存在可疑活动后，发现了该漏洞。经调查，发现恶意代码被注入到 Lottie Player 中，Lottie Player 是多个 dApp 和非加密网站广泛使用的动画库。

截至目前，尚未有用户钱包被泄露的报道。不过，在问题完全解决之前，请不要与 1inch 用户进行任何互动。

根据X（原Twitter）上的多篇帖子，目前已确认1inch和TEN Finance是此次攻击的受害者。然而，这个数字可能要高得多，因为该漏洞针对的是 Lottie Player 2.0.5 及更高版本。

据报道，黑客已将恶意代码注入到使用这些版本的网站的前端 JSON 文件中。该代码现在使受感染的网站能够执行未经授权的交易，对用户的资产和数据构成严重威胁。

来自 Blockaid 的报告表明，这次攻击是通过 Lottie Player 的内容服务器受到损害而引入的，其中使用了恶意 npm 包来分发更改后的代码。 Blockaid 和其他安全公司已确认在包中注入了未经授权的脚本。

“合法网站（也包括非加密网站）现在正在提供恶意内容，包括反调试规避代码。 @LottieFiles，看起来攻击者已经成功推送了您的软件包的恶意版本，并且现在正在上传另一个版本。”Blockaid 在 X（以前的 Twitter）帖子中写道。

截至撰写本文时，1inch 尚未就此次泄露事件发布任何官方声明。然而，Lottie Player 团队已确认他们能够确定违规原因，并正在努力删除受影响的版本。

强烈建议用户避免连接钱包或与受影响的平台交互，直到安全问题完全解决。

以上是1inch 网站遭到入侵，用户请勿进行任何互动的详细内容。更多信息请关注PHP中文网其他相关文章！