Lottie Player è stato colpito da un attacco alla supply chain, rubando 10 BTC incartati dal portafoglio Avalanche

Lottie Player è stato colpito da un attacco alla supply chain, che ha colpito un portafoglio contenente 10 Bitcoin (BTC). Lo strumento di Wordpress è stato utilizzato impropriamente per inviare link dannosi agli utenti di Web3, prosciugando di fatto i portafogli. 

Lottie Player, la libreria di animazioni di Wordpress, è stata utilizzata come vettore di attacco per gli utenti Web3. Attraverso link dannosi, almeno un portafoglio è stato prosciugato di 10 Bitcoin (BTC). 

L'attacco a Lottie Player ha colpito progetti ampiamente utilizzati come 1inch e Mover. L'attacco a 1inch potrebbe essere particolarmente dannoso, poiché il servizio di trading DEX è tra i più utilizzati su Ethereum. 

Blockaid ha anche segnalato di aver diffuso connessioni a wallet dannose tramite il suo sito web. Bubble è stato un altro sito web front-end interessato dai popup dannosi, ed è stato uno dei primi a essere segnalato. Bubble è anche la fonte per la creazione di app di terze parti, che potrebbero essere state colpite nelle ore in cui le vecchie versioni erano attive. 

I ricercatori di Blockaid hanno Acedentwallet Drainer come la fonte più probabile dell'attacco. La versione dannosa di Lottie Player è stata rimossa, ma non prima di aver diffuso falsi link per la firma con i wallet Web3 più diffusi. L'attacco è attivo da almeno 12 ore, aumentando i saldi in diversidentidentificati

L'attacco è stato notato per la prima volta quando un portafoglio è stato svuotato di 10 BTC, il che ha portato alla creazione di link falsi. Il rischio risiedeva nel firmare rapidamente tutte le richieste, incluso l'accesso permanente ai portafogli. Ciò ha permesso agli aggressori di svuotare persino Avalanche C-Chain, rubando una forma di BTC "wrapped". L'attacco in sé non richiedeva un Bitcoin , ma si basava sulla necessità di connettività Web3.

⚠️ 3 ore fa, una vittima ha perso 10 BTC ($ 723.436) a causa della firma di una transazione di phishing.

Questo furto è probabilmente collegato all'attacco alla catena di approvvigionamento di Lottie Player avvenuto oggi. https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9

— Rilevatore di truffe | Web3 Anti-Scam (@realScamSniffer) 31 ottobre 2024

Gli utenti hanno anche notato che Lottie Player avrebbe popolato una rotta Web3 con una transazione dannosa se utilizzato per i siti web nel modo consueto. Gli analisti hanno notato che l'attacco ha preso di mira Ethereum e le catene compatibili con EVM. 

Gli indirizzi degli aggressori continuano a mostrare attività, interessando piccole quantità di vari token Web3. Al momento, l'intera portata dell'attacco non è stata quantificata e potrebbe aver colpito anche altri token. Gli aggressori stanno scambiando rapidamente i token tramite Uniswap o persino tramite MetaMask Swap.

L'attacco di Lottie Player si è diffuso su più siti

L'attacco a Lottie Player ha mostrato una schermata molto familiare agli utenti Web3, invitandoli a collegare alcuni dei principali wallet, tra cui MetaMask, WalletConnect e altri.

Anche la TryHackMe ha riscontrato il problema, ma è passata a una versione precedente. Il problema è stato segnalato da altri utenti di siti web popolari. 

L'attacco ha interessato due versioni di Lottie Player, individuate per la prima volta nella tarda serata del 30 ottobre. Gli attacchi hanno avuto origine dalle versioni 2.0.5 o successive. I proprietari dei siti web hanno dovuto porre rimedio all'attacco autonomamente nelle prime ore, tornando ad altri strumenti o a versioni precedenti di Lottie Player. Alcuni hanno scelto di eliminare gli script per precauzione. 

I proprietari di wallet potrebbero comunque dover revocare le autorizzazioni se si sono connessi a uno qualsiasi dei link iniettati. Siti come 1inch attraggono oltre 590.000 utenti mensili e potrebbero aver interessato diversi wallet non rilevati.

Il team di Lottie Player pubblica una versione sicura

Il team di Lottie Player ha reagito caricando una nuova versione legittima, la 2.0.8, e annullando la pubblicazione degli script contaminati. Il team ha notato che le versioni difettose erano tre in totale, pubblicate direttamente su NPM utilizzando un token di accesso compromesso di uno sviluppatore con i privilegi di pubblicazione richiesti. Il team ha sottolineato che nessun altro repository o libreria è stato interessato. 

Lottie Player è ampiamente utilizzato per animazioni e funzionalità minori sui siti web, ma è stato aggiunto all'elenco dei distributori di link dannosi. Questi tipi di attacchi prendono di mira singoli wallet, aumentando il rischio di indirizzi infetti, attacchi diretti tramite email e messaggi e versioni di siti web falsi. 

L'attacco avviene durante la fase successiva di un mercato rialzista delle criptovalute, accelerando i tentativi di rubare token di maggior valore. È preferibile collegare un wallet per uno scopo specifico, evitando di dover richiedere autorizzazioni a tempo pieno per la firma delle transazioni. Avviare una connessione al wallet subito dopo l'accesso a un sito web potrebbe essere un campanello d'allarme.