Jugador de Lottie sufre un ataque a la cadena de suministro y roba 10 BTC envueltos de la billetera Avalanche

Lottie Player sufrió un ataque a la cadena de suministro, que afectó a una billetera con 10 Bitcoin (BTC). Se ha abusado de la herramienta de WordPress para enviar enlaces maliciosos a usuarios de Web3, vaciando así las billeteras. 

Lottie Player, la biblioteca de animaciones de WordPress, se ha utilizado como vector de ataque para usuarios de Web3. Mediante enlaces maliciosos, se han vaciado 10 Bitcoin (BTC) de al menos una billetera. 

El ataque a Lottie Player ha afectado a proyectos tan utilizados como 1inch y Mover. El ataque a 1inch podría ser especialmente dañino, ya que este servicio de trading DEX es uno de los más utilizados en Ethereum. 

Blockaid también ha informado de la difusión de conexiones maliciosas a monederos electrónicos a través de su sitio web. Bubble fue otro sitio web de fachada afectado por las ventanas emergentes maliciosas y uno de los primeros en ser reportado. Bubble también es la fuente para crear aplicaciones de terceros, que podrían haberse visto afectadas durante las horas en que las versiones antiguas estuvieron activas. 

Los investigadores de Blockaid han adentAce Drainer como la fuente más probable del ataque. La versión maliciosa de Lottie Player ha sido eliminada, pero no sin antes difundir enlaces falsos para firmar con billeteras Web3 de uso común. El ataque ha estado activo durante al menos 12 horas, incrementando los saldos en variasdent.

El ataque se detectó por primera vez cuando se vaciaron 10 BTC de una billetera, lo que condujo a la fuente de enlaces falsos. El riesgo residía en firmar rápidamente todas las solicitudes, incluyendo el acceso permanente a las billeteras. Esto permitió a los atacantes incluso vaciar Avalanche , robando una forma de BTC encapsuladoautocustodial Bitcoin , sino que se basaba en la necesidad de conectividad Web3.

⚠️ Hace 3 horas, una víctima perdió 10 BTC ($723,436) debido a la firma de una transacción de phishing.

Es probable que este robo esté relacionado con el ataque a la cadena de suministro de Lottie Player ocurrido hoy mismo. https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9

— Detector de estafas | Web3 Anti-Scam (@realScamSniffer) 31 de octubre de 2024

Los usuarios también observaron que Lottie Player rellenaba una ruta Web3 con una transacción maliciosa al usarla para sitios web de forma habitual. Los analistas señalaron que el ataque se dirigió a cadenas compatibles con Ethereum y EVM. 

Las direcciones de los atacantes siguen mostrando actividad, afectando a pequeñas cantidades de diversos tokens Web3. Por el momento, no se ha determinado el alcance total del ataque, que podría haber afectado a otros tokens. Los atacantes intercambian los tokens rápidamente a través de Uniswap, o incluso mediante MetaMask Swap.

El ataque a Lottie Player se extendió a varios sitios

El ataque de Lottie Player mostró una pantalla muy familiar para los usuarios de Web3, instándolos a conectar algunas de las principales billeteras, incluidas MetaMask, WalletConnect y otras.

Incluso la TryHackMe experimentó la ventana emergente, pero se actualizó a una versión anterior. Otros usuarios de sitios web populares han reportado el problema. 

El ataque afectó a dos versiones de Lottie Player, detectado por primera vez a finales del 30 de octubre. Los ataques se originaron en la versión 2.0.5 o superior. Los propietarios de sitios web tuvieron que solucionar el ataque ellos mismos en las primeras horas, volviendo a otras herramientas o versiones anteriores de Lottie Player. Algunos han optado por eliminar los scripts como medida de precaución. 

Los propietarios de billeteras aún podrían tener que revocar los permisos si se han conectado a alguno de los enlaces inyectados. Sitios como 1inch atraen a más de 590.000 usuarios mensuales y podrían haber afectado a varias billeteras no detectadas.

El equipo de Lottie Player publica una versión segura

El equipo de Lottie Player reaccionó subiendo una nueva versión legítima, la 2.0.8, y anulando la publicación de los scripts contaminados. El equipo observó que había tres versiones defectuosas, publicadas directamente en NPM mediante un token de acceso comprometido de un desarrollador con los privilegios de publicación necesarios. El equipo señala que ningún otro repositorio o biblioteca se ha visto afectado. 

Lottie Player se usa ampliamente para animaciones y funciones menores en sitios web, pero se ha añadido a la lista de distribuidores de enlaces maliciosos. Este tipo de ataques se dirigen a billeteras individuales, lo que aumenta el riesgo de direcciones envenenadas, ataques directos en correos electrónicos y mensajes, y versiones falsas de sitios web. 

El ataque ocurre durante la siguiente etapa del mercado alcista de criptomonedas, lo que acelera los intentos de robar tokens más valiosos. Es recomendable conectar una billetera para un propósito específico, evitando permisos permanentes para firmar transacciones. Iniciar la conexión de una billetera inmediatamente después de acceder a un sitio web puede ser una señal de alerta.