تعرضت لوتي بلاير لهجوم على سلسلة التوريد، مما أدى إلى سرقة 10 عملات بيتكوين مغلفة من محفظة Avalanche

تعرض برنامج Lottie Player لهجوم إلكتروني على سلسلة التوريد، مما أثر على محفظة واحدة تحتوي على 10 Bitcoin (BTC). وقد تم استغلال أداة ووردبريس هذه لإرسال روابط خبيثة إلى مستخدمي Web3، مما أدى إلى استنزاف محافظهم بشكل كبير. 

استُخدمت مكتبة الرسوم المتحركة "لوتي بلاير" الخاصة بمنصة ووردبريس كأداة للهجوم على مستخدمي Web3. ومن خلال روابط خبيثة، سُحبت 10 Bitcoin (BTC) من محفظة واحدة على الأقل. 

أثر هجوم "لوتي بلاير" على مشاريع واسعة الانتشار مثل "ون إنش" و"موفر". وقد يكون هجوم "ون إنش" ضارًا بشكل خاص، نظرًا لأن خدمة التداول اللامركزية هذه تُعد من بين أكثر الخدمات استخدامًا على Ethereum. 

أفادت شركة Blockaid أيضًا بنشرها اتصالات محافظ خبيثة عبر موقعها الإلكتروني. Bubble من بين المواقع الأخرى التي تأثرت بالنوافذ المنبثقة الخبيثة، وكان من أوائل المواقع التي تم الإبلاغ عنها. كما يُعد Bubble مصدرًا لبناء تطبيقات خارجية، والتي ربما تكون قد تأثرت خلال الساعات التي كانت فيها الإصدارات القديمة نشطة. 

باحثون من شركة Blockaid حددdentتم Ace Drainer باعتباره المصدر الأرجح للهجوم. وقد أُزيلت النسخة الخبيثة من برنامج Lottie Player، ولكن بعد أن نشرت روابط مزيفة لتسجيل الدخول باستخدام محافظ Web3 الشائعة. استمر الهجوم لمدة 12 ساعة على الأقل، مما أدى إلى زيادة الأرصدة في العديد من محافظ الهجوم التيdent.

تم رصد الهجوم لأول مرة عندما سُحبت 10 بيتكوين من محفظة، مما كشف عن مصدر الروابط المزيفة. تمثلت المخاطرة في التوقيع السريع على جميع الطلبات، بما في ذلك الوصول الدائم إلى المحافظ. سمح هذا للمهاجمين بسحب كميات هائلة Avalanche C-Chain، وسرقة نوع من البيتكوين المُغلف. لم يتطلب الهجوم Bitcoin ، بل اعتمد على الحاجة إلى اتصال Web3.

⚠️ قبل 3 ساعات، خسر أحد الضحايا 10 بيتكوين (723,436 دولارًا) بسبب توقيع معاملة تصيد احتيالي.

من المرجح أن تكون هذه السرقة مرتبطة بالهجوم الذي استهدف سلسلة توريد شركة لوتي بلاير في وقت سابق من اليوم. https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) ٣١ أكتوبر ٢٠٢٤

لاحظ المستخدمون أيضًا أن برنامج Lottie Player يقوم بتعبئة مسار Web3 بمعاملة خبيثة عند استخدامه للمواقع الإلكترونية بالطريقة المعتادة. وأشار المحللون إلى أن الهجوم استهدف سلاسل Ethereum والسلاسل المتوافقة مع EVM. 

لا تزال عناوين المهاجمين تُظهر نشاطًا مستمرًا، مما يؤثر على حيازات صغيرة من رموز Web3 المختلفة. وحتى الآن، لم يتم تحديد حجم الهجوم بالكامل، وقد يكون قد أثر على رموز أخرى. يقوم المهاجمون بتبادل الرموز بسرعة عبر منصة Uniswap، أو حتى عبر منصة MetaMask.

امتد هجوم لوتي بلاير إلى مواقع متعددة

عرض هجوم Lottie Player شاشة مألوفة للغاية لمستخدمي Web3، تحثهم على ربط بعض المحافظ الإلكترونية الرائدة، بما في ذلك MetaMask وWalletConnect وغيرها.

حتى TryHackMe واجهت هذه المشكلة، لكنها انتقلت إلى إصدار أقدم. وقد أبلغ مستخدمون آخرون لمواقع إلكترونية شهيرة عن هذه المشكلة. 

أثّر الهجوم على نسختين من برنامج Lottie Player، وقد لُوحظ لأول مرة في وقت متأخر من يوم 30 أكتوبر. انطلقت الهجمات من الإصدارات 2.0.5 أو أحدث. اضطر أصحاب المواقع الإلكترونية إلى إزالة الهجوم بأنفسهم في الساعات الأولى، وذلك بالعودة إلى أدوات أخرى أو إصدارات أقدم من برنامج Lottie Player. وقد اختار البعض حذف البرامج النصية كإجراء احترازي. 

قد يضطر أصحاب المحافظ الرقمية إلى إلغاء الأذونات إذا كانوا قد اتصلوا بأي من الروابط المُضافة. 1inch تجذب

فريق لوتي بلاير ينشر نسخة آمنة

استجاب فريق Lottie Player بتحميل نسخة جديدة أصلية (2.0.8)، مع إلغاء نشر البرامج النصية الملوثة. وأشار الفريق إلى أن النسخ المعيبة كانت ثلاث نسخ إجمالاً، نُشرت مباشرةً على NPM باستخدام رمز وصول مخترق من مطور يملك صلاحيات النشر المطلوبة. وأكد الفريق عدم تأثر أي مستودعات أو مكتبات أخرى. 

يُستخدم برنامج Lottie Player على نطاق واسع في الرسوم المتحركة والميزات الثانوية على مواقع الويب، ولكنه أُضيف إلى قائمة موزعي الروابط الخبيثة. تستهدف هذه الأنواع من الهجمات محافظ العملات الرقمية، مما يزيد من خطر تسميم العناوين، والاستهداف المباشر عبر البريد الإلكتروني والرسائل النصية، وإنشاء نسخ مزيفة من مواقع الويب. 

يحدث الهجوم خلال المرحلة التالية من سوق العملات الرقمية الصاعدة، مما يُسرّع محاولات سرقة المزيد من العملات الرقمية القيّمة. يُنصح بربط المحفظة لغرض مُحدد، مع تجنّب منح صلاحيات دائمة لتوقيع المعاملات. قد يكون بدء ربط المحفظة فور دخول موقع ويب مؤشرًا على وجود مشكلة.