Lottie Player wurde Opfer eines Lieferkettenangriffs, bei dem 10 Wrapped BTC aus Avalanche -Wallet gestohlen wurden

Lottie Player wurde Opfer eines Lieferkettenangriffs, der eine Wallet mit 10 Bitcoin (BTC) betraf. Das WordPress-Tool wurde missbraucht, um schädliche Links an Web3-Nutzer zu senden und so deren Wallets zu leeren. 

Lottie Player, die Animationsbibliothek von WordPress, wurde als Einfallstor für Angriffe auf Web3-Nutzer missbraucht. Über manipulierte Links wurden mindestens 10 Bitcoin (BTC) aus einer Wallet gestohlen. 

Der Lottie-Player-Angriff hat weit verbreitete Projekte wie 1inch und Mover beeinträchtigt. Der Angriff auf 1inch könnte besonders schwerwiegend sein, da der DEX-Handelsdienst zu den meistgenutzten auf Ethereumgehört. 

Blockaid hat ebenfalls gemeldet, über seine Website schädliche Wallet-Verbindungen verbreitet zu haben. Bubble war von den schädlichen Pop-ups betroffen und gehörte zu den ersten, über die dies gemeldet wurde. Bubble dient zudem als Quelle für die Entwicklung von Drittanbieter-Apps, die möglicherweise in den Stunden, als die alten Versionen aktiv waren, betroffen waren. 

Forscher von Blockaid haben identifiziertendentAngriffs Drainer als wahrscheinlichste Quelle des Angriffs identifiziert. Die schädliche Version von Lottie Player wurde entfernt, nachdem sie zuvor gefälschte Links zur Signierung mit weit verbreiteten Web3-Wallets verbreitet hatte. Der Angriff war mindestens zwölf Stunden aktiv und erhöhte die Guthaben in mehrerendentWallets.

Der Angriff wurde erstmals bemerkt, als eine Wallet um 10 BTC erleichtert wurde, wodurch die Quelle gefälschter Links gefunden wurde. Das Risiko bestand darin, alle Anfragen, einschließlich des permanenten Zugriffs auf Wallets, schnell zu signieren. Dies ermöglichte es den Angreifern, sogar Avalanche C-Chain-Adressen zu leeren und so eine Art Wrapped BTC. Der Angriff selbst benötigte keine selbstverwaltete Bitcoin Wallet, sondern lediglich eine Web3-Verbindung.

⚠️ Vor 3 Stunden verlor ein Opfer 10 BTC (723.436 US-Dollar) durch die Unterzeichnung einer Phishing-Transaktion.

Dieser Diebstahl steht vermutlich im Zusammenhang mit dem heutigen Lieferkettenangriff auf Lottie Player. https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 31. Oktober 2024

Nutzer stellten außerdem fest, dass der Lottie Player bei üblicher Nutzung für Webseiten eine schädliche Transaktion in eine Web3-Route einfügte. Analysten merkten an, dass der Angriff auf Ethereum und EVM-kompatible Blockchains abzielte. 

Die Adressen der Angreifer weisen weiterhin Aktivität auf und betreffen kleinere Bestände verschiedener Web3-Token. Das volle Ausmaß des Angriffs ist derzeit noch nicht bekannt und könnte auch andere Token betroffen haben. Die Angreifer tauschen die Token schnell über Uniswap oder sogar über MetaMask Swap.

Der Angriff auf Lottie Player breitete sich auf mehrere Seiten aus

Der Lottie Player-Angriff zeigte Web3-Nutzern einen sehr vertrauten Bildschirm an, der sie aufforderte, einige der führenden Wallets, darunter MetaMask, WalletConnect und andere, zu verbinden.

Auch die TryHackMe war von dem Popup betroffen, wechselte aber zu einer älteren Version. Das Problem wurde auch von anderen Nutzern beliebter Websites gemeldet. 

Der Angriff betraf zwei Versionen des Lottie Players und wurde erstmals am späten Abend des 30. Oktober bemerkt. Die Angriffe gingen von Versionen ab 2.0.5 aus. Website-Betreiber mussten den Angriff in den ersten Stunden selbst abwehren, indem sie auf andere Tools oder ältere Versionen des Lottie Players zurückgriffen. Einige löschten die Skripte vorsorglich. 

Wallet-Besitzer müssen möglicherweise weiterhin Berechtigungen widerrufen, falls sie mit einem der eingeschleusten Links in Kontakt getreten sind. Seiten wie 1inch verzeichnen monatlich über 590.000 Nutzer und könnten mehrere unentdeckte Wallets betroffen haben.

Das Lottie Player-Team veröffentlicht eine sichere Version

Das Lottie Player-Team reagierte mit der Veröffentlichung einer gültigen neuen Version 2.0.8 und entfernte die betroffenen Skripte. Das Team stellte fest, dass insgesamt drei fehlerhafte Versionen betroffen waren, die mithilfe eines kompromittierten Zugriffstokens eines Entwicklers mit den erforderlichen Veröffentlichungsrechten direkt auf NPM veröffentlicht wurden. Laut Teamangaben sind keine weiteren Repositories oder Bibliotheken betroffen. 

Lottie Player wird häufig für Animationen und kleinere Funktionen auf Webseiten verwendet, wurde aber nun auch in die Liste der Verteiler schädlicher Links aufgenommen. Solche Angriffe zielen auf einzelne Wallets ab und erhöhen das Risiko von manipulierten E-Mail-Adressen, gezielten Angriffen per E-Mail und SMS sowie gefälschten Webseiten. 

Der Angriff erfolgt in der nächsten Phase eines Krypto-Bullenmarktes und beschleunigt die Versuche, wertvollere Token zu stehlen. Eine Wallet-Verbindung sollte idealerweise nur für einen bestimmten Zweck hergestellt werden, um dauerhafte Berechtigungen zum Signieren von Transaktionen zu vermeiden. Eine Wallet-Verbindung direkt nach dem Aufrufen einer Website herzustellen, kann verdächtig sein.