Lottie Player a été touché par une attaque de la chaîne d'approvisionnement, affectant un portefeuille contenant 10 Bitcoin (BTC). L'outil Wordpress a été utilisé à mauvais escient pour envoyer des liens malveillants aux utilisateurs du Web3, vidant ainsi les portefeuilles.
Lottie Player, la bibliothèque d'animation Wordpress, a été utilisée comme vecteur d'attaque par les utilisateurs du Web3. Grâce à des liens malveillants, au moins un portefeuille a été vidé de 10 Bitcoin (BTC).
L'attaque Lottie Player a affecté des projets largement utilisés comme 1inch et Mover. L'attaque 1inch peut être particulièrement dangereuse, car le service de trading DEX est l'un des plus utilisés sur Ethereum.
Blockaid a également signalé avoir diffusé des connexions de portefeuille malveillantes via son site Web. Bubble était un autre site Web frontal affecté par les popups malveillants et est devenu l'un des premiers à être signalé. Bubble est également la source de création d'applications tierces, qui auraient pu être affectées pendant les heures où les anciennes versions étaient actives.
Les chercheurs de Blockaid ont dent Ace Drainer comme la source la plus probable de l'attaque. La version malveillante de Lottie Player a été supprimée, mais pas avant de diffuser de faux liens permettant de signer avec des portefeuilles Web3 largement utilisés. L'attaque est active depuis au moins 12 heures, augmentant les soldes de plusieurs dent .
L’attaque a été constatée pour la première fois lorsqu’un portefeuille a été vidé de 10 BTC, conduisant à la source de faux liens. Le risque était de signer rapidement toutes les demandes, y compris l'accès permanent aux portefeuilles. Cela a même permis aux attaquants de drainer Avalanche C-Chain, volant une forme de BTC enveloppé . L’attaque elle-même ne demandait pas de Bitcoin , mais reposait sur la nécessité d’une connectivité Web3.
⚠️ Il y a 3 heures, une victime a perdu 10 BTC (723 436 $) en raison de la signature d'une transaction de phishing.
Ce vol est probablement lié à l'attaque de la chaîne d'approvisionnement contre Lottie Player plus tôt dans la journée. https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9
— Renifleur d'arnaque | Web3 Anti-arnaque (@realScamSniffer) 31 octobre 2024
Les utilisateurs ont également noté que Lottie Player remplirait une route Web3 avec une transaction malveillante lorsqu'il était utilisé pour des sites Web de la manière habituelle. Les analystes ont noté que l’attaque visait les chaînes compatibles Ethereum et EVM.
Les adresses des attaquants continuent de montrer une activité, affectant de petits avoirs de divers jetons Web3. Pour l’instant, l’ampleur totale de l’attaque n’a pas été prise en compte et pourrait avoir affecté d’autres jetons. Les attaquants échangent rapidement les jetons via Uniswap, ou même via l'échange MetaMask.
L'attaque de Lottie Player s'est propagée à plusieurs sites
L'attaque Lottie Player a affiché un écran très familier pour les utilisateurs de Web3, les invitant à connecter certains des meilleurs portefeuilles, notamment MetaMask, WalletConnect et autres.
Même la TryHackMe a rencontré le popup, mais est passée à une ancienne version. Le problème a été signalé par d'autres utilisateurs de sites Web populaires.
L'attaque a affecté deux versions de Lottie Player, remarquées pour la première fois le 30 octobre. Les attaques provenaient des versions 2.0.5 ou supérieures. Les propriétaires de sites Web ont dû éliminer eux-mêmes l'attaque dans les premières heures, en revenant à d'autres outils ou à des versions plus anciennes de Lottie Player. Certains ont choisi de supprimer les scripts par précaution.
Les propriétaires de portefeuille peuvent toujours devoir révoquer les autorisations s'ils se sont connectés à l'un des liens injectés. Des sites comme 1inch attirent plus de 590 000 utilisateurs mensuels et peuvent avoir affecté plusieurs portefeuilles non détectés.
L'équipe Lottie Player publie une version sécurisée
L'équipe de Lottie Player a réagi en téléchargeant une nouvelle version légitime 2.0.8, tout en dépublier les scripts contaminés. L'équipe a noté qu'il y avait trois versions défectueuses au total, publiées directement sur NPM à l'aide d'un jeton d'accès compromis provenant d'un développeur disposant des privilèges de publication requis. L'équipe note qu'aucun autre référentiel ou bibliothèque n'a été affecté.
Lottie Player est largement utilisé pour les animations et les fonctionnalités mineures des sites Web, mais a été ajouté à la liste des distributeurs de liens malveillants. Ces types d'attaques ciblent des portefeuilles individuels, augmentant ainsi le risque d' adresses empoisonnées , de ciblage direct dans les e-mails et les messages, et de fausses versions de sites Web.
L’attaque se produit au cours de la prochaine étape d’un marché haussier des crypto-monnaies, accélérant les tentatives de vol de jetons plus précieux. Il est préférable de connecter un portefeuille dans un but spécifique, en évitant les autorisations à temps plein pour signer des transactions. Le lancement d’une connexion au portefeuille immédiatement après avoir accédé à un site Web peut être un signal d’alarme.
Cryptopolitan Academy: à venir bientôt - une nouvelle façon de gagner un revenu passif avec DeFi en 2025. En savoir plus
