Uma vulnerabilidade na biblioteca Lottie Player nas versões 2.0.5 e superiores, utilizada para animações no setor DeFi, comprometeu a segurança do agregador de exchanges descentralizadas 1inch e da plataforma TEN Finance.
O ataque permitiu a execução de transações não autorizadas, colocando em risco os fundos e as informações pessoais dos usuários dos protocolos mencionados.
A ameaça veio de um código malicioso inserido nos arquivos JSON da Lottie Player, possibilitando que sites comprometidos executassem ações sem o consentimento dos usuários.
Segundo a empresa de segurança Blockaid, a falha foi causada por um pacote corrompido hospedado no servidor de conteúdo da Lottie Player.
Outras empresas confirmaram a existência de scripts não autorizados, capazes de burlar medidas de segurança e dificultar o monitoramento por parte dos desenvolvedores. Até mesmo sites legítimos fora do universo cripto podem estar distribuindo o conteúdo malicioso sem saber.
A equipe da Lottie Player afirmou estar trabalhando para eliminar as versões comprometidas. Enquanto isso, até o momento da escrita do artigo, a 1inch não se pronunciou oficialmente sobre o ataque.
