Lottie Player 遭到供應鏈攻擊,影響了一個裝有 10 個比特幣 (BTC) 的錢包。 WordPress 工具被濫用向 Web3 用戶發送惡意鏈接,從而有效地耗盡了錢包。
WordPress 的動畫庫 Lottie Player 被用作 Web3 使用者的攻擊媒介。透過惡意鏈接,至少一個錢包被盜走了 10 個比特幣 (BTC)。
Lottie Player 攻擊影響了 1inch 和 Mover 等廣泛使用的項目。鑑於 DEX 交易服務是以太坊上使用最廣泛的服務之一,1 英吋攻擊的破壞性可能特別大。
Blockaid 也報告透過其網站傳播惡意錢包連結。 Bubble是另一個受到惡意彈出視窗攻擊的特色網站,也是最早被報告的網站之一。 Bubble 也是創建第三方應用程式的來源,這些應用程式可能會在舊版本處於活動狀態時受到影響。
Blockaid 研究人員確定Ace Drainer 是最有可能的攻擊源。 Lottie Player 的惡意版本已被刪除,但在此之前,它會將虛假簽名連結傳播到廣泛使用的 Web3 錢包。該攻擊已持續至少 12 小時,導致多個已識別的攻擊錢包中的餘額增加。
當錢包被耗盡 10 BTC 時,該攻擊首次被注意到,導致了虛假連結的來源。風險在於快速簽署所有請求,包括永久存取錢包。這使得攻擊者甚至可以耗盡 Avalanche C 鏈位址,竊取某種形式的包裝 BTC 。攻擊本身不需要自我託管的比特幣錢包,而是依賴 Web3 連線的需要。
3 小時前,一名受害者因簽署釣魚交易而損失了 10 BTC(723,436 美元)。
這起竊盜事件很可能與今天發生的 Lottie Player 供應鏈攻擊有關。 https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9
— 詐騙嗅探器 | Web3 反詐騙 (@realScamSniffer) 2024 年 10 月 31 日
使用者還注意到,當以通常方式用於網站時,Lottie Player 會使用惡意事務填充 Web3 路徑。分析師指出,此次攻擊針對的是以太坊和 EVM 相容鏈。
攻擊者地址繼續顯示活動,目標是少量的各種 Web3 代幣。目前,攻擊的全部範圍尚未被考慮在內,並且可能影響了其他代幣。攻擊者透過 Uniswap 甚至 MetaMask 交換快速交換代幣。
Lottie Player 攻擊蔓延到多個站點
Lottie Player 攻擊向 Web3 用戶展示了一個非常熟悉的螢幕,促使他們連接一些主要的錢包,包括 MetaMask、WalletConnect 等。
TryHackMe平台也遇到了彈出窗口,但已轉移到舊版本。熱門網站的其他用戶已報告了該問題。
這次攻擊影響了 Lottie Player 的兩個版本,首次注意到是在 10 月 30 日下旬。這些攻擊來自 2.0.5 或更高版本。網站所有者必須在最初的幾個小時內自行消除攻擊,回滾其他工具或舊版的 Lottie Player。作為預防措施,有些人選擇刪除腳本。
如果錢包所有者連接到您發布的任何鏈接,他們可能仍然需要撤銷權限。像1inch這樣的網站每月吸引超過 59 萬名用戶,並且可能影響了多個未被偵測到的錢包。
Lottie Player 團隊發布安全版本
Lottie Player 團隊的回應是上傳新的合法版本 2.0.8, 取消發布受污染的腳本。團隊指出,總共有三個有缺陷的版本,由具有所需發布權限的開發人員使用受損的存取權杖直接發佈到 NPM。團隊指出,沒有其他儲存庫或庫受到影響。
Lottie Player 廣泛用於網站上的動畫和次要功能,但已添加到惡意連結分發者清單中。這些類型的攻擊針對個人錢包,增加了中毒地址、直接針對電子郵件和訊息以及虛假網站版本的風險。
這次攻擊發生在加密貨幣牛市的後期,加速了竊取更有價值代幣的嘗試。最好為特定目的連接錢包,避免簽署交易的全職權限。進入網站後立即啟動錢包連接可能是一個危險信號。