Lottie Player è stato colpito da un attacco alla catena di approvvigionamento, che ha colpito un portafoglio con 10 Bitcoin (BTC). Lo strumento WordPress è stato utilizzato in modo improprio per inviare collegamenti dannosi agli utenti Web3, prosciugando di fatto i portafogli.
Lottie Player, la libreria di animazioni di WordPress, è stata utilizzata come vettore di attacco per gli utenti Web3. Attraverso collegamenti dannosi, almeno un portafoglio è stato prosciugato di 10 Bitcoin (BTC).
L'attacco Lottie Player ha colpito progetti ampiamente utilizzati come 1inch e Mover. L’attacco da 1 pollice potrebbe essere particolarmente dannoso, dato che il servizio di trading DEX è tra quelli più utilizzati su Ethereum.
Blockaid ha anche riferito di aver diffuso connessioni di portafoglio dannose attraverso il suo sito web. Bubble è stato un altro sito web in primo piano colpito dai popup dannosi ed è diventato uno dei primi ad essere segnalato. Bubble è anche la fonte per la creazione di app di terze parti, che avrebbero potuto essere influenzate nelle ore in cui erano attive le vecchie versioni.
I ricercatori di Blockaid hanno identificato Ace Drainer come la fonte più probabile dell'attacco. La versione dannosa di Lottie Player è stata rimossa, ma non prima di aver diffuso collegamenti falsi per la firma con i portafogli Web3 ampiamente utilizzati. L'attacco è attivo da almeno 12 ore, aumentando i saldi in diversi portafogli di attacco identificati.
L'attacco è stato notato per la prima volta quando un portafoglio è stato prosciugato di 10 BTC, portando alla fonte di collegamenti falsi. Il rischio stava nel firmare rapidamente tutte le richieste, compreso l’accesso permanente ai portafogli. Ciò ha consentito agli aggressori di drenare persino gli indirizzi Avalanche C-Chain, rubando una forma di BTC avvolto . L’attacco in sé non ha richiesto un portafoglio Bitcoin auto-custodiato, ma si è basato sulla necessità della connettività Web3.
⚠️ 3 ore fa, una vittima ha perso 10 BTC ($ 723.436) a causa della firma di una transazione di phishing.
Questo furto è probabilmente correlato all'attacco alla catena di approvvigionamento di Lottie Player avvenuto oggi. https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9
— Sniffatore di truffe | Web3 Anti-truffa (@realScamSniffer) 31 ottobre 2024
Gli utenti hanno anche notato che Lottie Player avrebbe popolato un percorso Web3 con una transazione dannosa se utilizzato per i siti Web nel modo consueto. Gli analisti hanno notato che l'attacco ha preso di mira le catene compatibili con Ethereum e EVM.
Gli indirizzi degli aggressori continuano a mostrare attività, colpendo piccole quantità di vari token Web3. Per ora, l’intera dimensione dell’attacco non è stata presa in considerazione e potrebbe aver influenzato altri token. Gli aggressori scambiano rapidamente i token tramite Uniswap o anche tramite MetaMask swap.
L'attacco di Lottie Player si è diffuso su più siti
L'attacco Lottie Player ha mostrato una schermata molto familiare agli utenti Web3, spingendoli a connettere alcuni dei principali portafogli, tra cui MetaMask, WalletConnect e altri.
Anche la piattaforma TryHackMe ha riscontrato il popup, ma è passata a una versione precedente. Il problema è stato segnalato da altri utenti di siti Web popolari.
L'attacco ha colpito due versioni di Lottie Player, notato per la prima volta alla fine del 30 ottobre. Gli attacchi provenivano dalla versione 2.0.5 o successiva. I proprietari dei siti web hanno dovuto eliminare l'attacco da soli nelle prime ore, ripristinando altri strumenti o versioni precedenti di Lottie Player. Alcuni hanno scelto di eliminare gli script per precauzione.
I proprietari del portafoglio potrebbero comunque dover revocare le autorizzazioni, se si sono connessi a uno qualsiasi dei collegamenti inseriti. Siti come 1inch attirano più di 590.000 utenti mensili e potrebbero aver influenzato più portafogli non rilevati.
Il team di Lottie Player pubblica la versione sicura
Il team di Lottie Player ha reagito caricando una nuova versione legittima, la 2.0.8, annullando la pubblicazione degli script contaminati. Il team ha notato che le versioni difettose erano tre in totale, pubblicate direttamente su NPM utilizzando un token di accesso compromesso da uno sviluppatore con i privilegi di pubblicazione richiesti. Il team rileva che nessun altro repository o libreria è stato interessato.
Lottie Player è ampiamente utilizzato per animazioni e funzionalità minori sui siti Web, ma è stato aggiunto all'elenco dei distributori per collegamenti dannosi. Questi tipi di attacchi prendono di mira singoli portafogli, aumentando il rischio di indirizzi avvelenati , targeting diretto in e-mail e messaggi e versioni di siti Web falsi.
L'attacco avviene durante la fase successiva di un mercato rialzista delle criptovalute, accelerando i tentativi di rubare token più preziosi. È meglio connettere un portafoglio per uno scopo specifico, evitando autorizzazioni a tempo pieno per la firma delle transazioni. Avviare una connessione al portafoglio immediatamente dopo essere entrati in un sito web può essere un campanello d'allarme.