Lottie 玩家遭遇供應鏈攻擊,從 Avalanche 錢包中盜走 10 個包裝好的 BTC



Lottie Player 遭到供應鏈攻擊,影響了一個裝有 10 個比特幣 (BTC) 的錢包。 WordPress 工具被濫用向 Web3 用戶發送惡意鏈接,從而有效地耗盡了錢包。

WordPress 的動畫庫 Lottie Player 被用作 Web3 使用者的攻擊媒介。透過惡意鏈接,至少一個錢包被盜走了 10 個比特幣 (BTC)。

Lottie Player 攻擊影響了 1inch 和 Mover 等廣泛使用的項目。鑑於 DEX 交易服務是以太坊上使用最廣泛的服務之一,1 英吋攻擊的破壞性可能特別大。

Blockaid 也報告透過其網站傳播惡意錢包連結。 Bubble是另一個受到惡意彈出視窗攻擊的特色網站,也是最早被報告的網站之一。 Bubble 也是創建第三方應用程式的來源,這些應用程式可能會在舊版本處於活動狀態時受到影響。

Blockaid 研究人員確定Ace Drainer 是最有可能的攻擊源。 Lottie Player 的惡意版本已被刪除,但在此之前,它會將虛假簽名連結傳播到廣泛使用的 Web3 錢包。該攻擊已持續至少 12 小時,導致多個已識別的攻擊錢包中的餘額增加。

Lottie Player 遭遇供應鏈攻擊,從 Avalanche 錢包中竊取 10 個包裝好的 BTC
Lottie Player 啟動了一個彈出窗口,要求連接加密錢包。 |來源: GitHub

當錢包被耗盡 10 BTC 時,該攻擊首次被注意到,導致了虛假連結的來源。風險在於快速簽署所有請求,包括永久存取錢包。這使得攻擊者甚至可以耗盡 Avalanche C 鏈位址,竊取某種形式的包裝 BTC 。攻擊本身不需要自我託管的比特幣錢包,而是依賴 Web3 連線的需要。

使用者還注意到,當以通常方式用於網站時,Lottie Player 會使用惡意事務填充 Web3 路徑。分析師指出,此次攻擊針對的是以太坊和 EVM 相容鏈。

攻擊者地址繼續顯示活動,目標是少量的各種 Web3 代幣。目前,攻擊的全部範圍尚未被考慮在內,並且可能影響了其他代幣。攻擊者透過 Uniswap 甚至 MetaMask 交換快速交換代幣。

Lottie Player 攻擊蔓延到多個站點

Lottie Player 攻擊向 Web3 用戶展示了一個非常熟悉的螢幕,促使他們連接一些主要的錢包,包括 MetaMask、WalletConnect 等。

TryHackMe平台也遇到了彈出窗口,但已轉移到舊版本。熱門網站的其他用戶已報告了該問題。

這次攻擊影響了 Lottie Player 的兩個版本,首次注意到是在 10 月 30 日下旬。這些攻擊來自 2.0.5 或更高版本。網站所有者必須在最初的幾個小時內自行消除攻擊,回滾其他工具或舊版的 Lottie Player。作為預防措施,有些人選擇刪除腳本。

如果錢包所有者連接到您發布的任何鏈接,他們可能仍然需要撤銷權限。像1inch這樣的網站每月吸引超過 59 萬名用戶,並且可能影響了多個未被偵測到的錢包。

Lottie Player 團隊發布安全版本

Lottie Player 團隊的回應是上傳新的合法版本 2.0.8, 取消發布受污染的腳本。團隊指出,總共有三個有缺陷的版本,由具有所需發布權限的開發人員使用受損的存取權杖直接發佈到 NPM。團隊指出,沒有其他儲存庫或庫受到影響。

Lottie Player 廣泛用於網站上的動畫和次要功能,但已添加到惡意連結分發者清單中。這些類型的攻擊針對個人錢包,增加了中毒地址、直接針對電子郵件和訊息以及虛假網站版本的風險

這次攻擊發生在加密貨幣牛市的後期,加速了竊取更有價值代幣的嘗試。最好為特定目的連接錢包,避免簽署交易的全職權限。進入網站後立即啟動錢包連接可能是一個危險信號。