Lottie Player a été victime d'une attaque de la chaîne d'approvisionnement et 10 BTC encapsulés ont été dérobés dans son portefeuille Avalanche

Lottie Player a été victime d'une attaque de type « compromis », qui a compromis un portefeuille contenant 10 Bitcoin (BTC). Cet outil WordPress a été détourné pour envoyer des liens malveillants aux utilisateurs de Web3, vidant ainsi leurs portefeuilles. 

Lottie Player, la bibliothèque d'animation WordPress, a été utilisée comme vecteur d'attaque contre des utilisateurs de Web3. Grâce à des liens malveillants, au moins un portefeuille a été vidé de 10 Bitcoin (BTC). 

L'attaque contre Lottie Player a affecté des projets très utilisés comme 1inch et Mover. L'attaque contre 1inch pourrait être particulièrement dommageable, car ce service d'échange décentralisé est parmi les plus utilisés sur Ethereum. 

Blockaid a également signalé avoir diffusé des liens malveillants vers des portefeuilles électroniques via son site web. Bubble , autre site web public touché par ces fenêtres contextuelles malveillantes, a été parmi les premiers à être signalés. Bubble sert également au développement d'applications tierces, qui pourraient avoir été affectées pendant la période d'activité des anciennes versions. 

Les chercheurs de Blockaid ont Acedentavoir diffusé de faux liens permettant de se connecter à des portefeuilles Web3 largement utilisés. L'attaque a été active pendant au moins 12 heures, augmentant les soldes de plusieursdent.

L'attaque a été initialement détectée lorsqu'un portefeuille a été vidé de 10 BTC, révélant ainsi la source de faux liens. Le risque résidait dans la signature rapide de toutes les requêtes, y compris l'accès permanent aux portefeuilles. Cela a permis aux attaquants de vider Avalanche C-Chain, dérobant ainsi une forme de BTC encapsulé. L'attaque elle-même ne nécessitait pas de Bitcoin , mais reposait sur la nécessité d'une connexion Web3.

⚠️ Il y a 3 heures, une victime a perdu 10 BTC (723 436 $) en signant une transaction d'hameçonnage.

Ce vol est probablement lié à l'attaque contre la chaîne d'approvisionnement de Lottie Player survenue plus tôt dans la journée. https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9

— Détecteur d'arnaques | Web3 Anti-arnaques (@realScamSniffer) 31 octobre 2024

Des utilisateurs ont également constaté que Lottie Player insérait une transaction malveillante dans une route Web3 lorsqu'il était utilisé de manière classique pour accéder à des sites web. Les analystes ont noté que l'attaque ciblait Ethereum et les blockchains compatibles avec l'EVM. 

Les adresses des attaquants continuent de présenter une activité, affectant de petites quantités de divers jetons Web3. L'ampleur totale de l'attaque n'a pas encore été déterminée et il est possible qu'elle ait touché d'autres jetons. Les attaquants échangent rapidement les jetons via Uniswap, voire via MetaMask.

L'attaque de Lottie Player s'est propagée à plusieurs sites

L'attaque Lottie Player affichait un écran très familier aux utilisateurs de Web3, les incitant à connecter certains des principaux portefeuilles numériques, notamment MetaMask, WalletConnect et d'autres.

Même la TryHackMe a rencontré ce problème, mais a migré vers une version antérieure. D'autres utilisateurs de sites web populaires ont également signalé ce souci. 

L'attaque a affecté deux versions de Lottie Player et a été détectée pour la première fois tard dans la journée du 30 octobre. Les attaques provenaient des versions 2.0.5 et supérieures. Les propriétaires de sites web ont dû intervenir eux-mêmes dans les premières heures, en utilisant d'autres outils ou des versions antérieures de Lottie Player. Par précaution, certains ont choisi de supprimer les scripts infectés. 

Les propriétaires de portefeuilles devront peut-être révoquer les autorisations s'ils se sont connectés à l'un des liens injectés. Des sites comme 1inch attirent plus de 590 000 utilisateurs mensuels et pourraient avoir affecté de nombreux portefeuilles sans être détectés.

L'équipe de Lottie Player publie une version sécurisée

L'équipe de Lottie Player a réagi en publiant une nouvelle version légitime (2.0.8) et en supprimant les scripts contaminés. Elle a constaté que trois versions défectueuses avaient été publiées directement sur NPM à l'aide d'un jeton d'accès compromis appartenant à un développeur disposant des droits de publication requis. L'équipe précise qu'aucun autre dépôt ni bibliothèque n'a été affecté. 

Lottie Player, largement utilisé pour les animations et les fonctionnalités mineures sur les sites web, figure désormais parmi les vecteurs de diffusion de liens malveillants. Ces attaques ciblent les portefeuilles électroniques individuels, augmentant ainsi le risque d' adresses empoisonnées, de ciblage direct par courriel et messages, et de contrefaçons de sites web. 

L'attaque survient lors de la prochaine phase haussière du marché des cryptomonnaies, accélérant les tentatives de vol de jetons plus précieux. Il est préférable de connecter un portefeuille pour un usage spécifique, en évitant de lui accorder une autorisation permanente pour la signature de transactions. Lancer une connexion à un portefeuille immédiatement après avoir accédé à un site web peut être un signe d'alerte.