A Lottie Player sofreu um ataque à sua cadeia de suprimentos, que resultou no roubo de 10 BTC criptografados de uma carteira Avalanche

O Lottie Player foi alvo de um ataque à cadeia de suprimentos, afetando uma carteira com 10 Bitcoin (BTC). A ferramenta do WordPress foi usada indevidamente para enviar links maliciosos a usuários da Web3, esvaziando efetivamente suas carteiras. 

A biblioteca de animações Lottie Player para WordPress foi usada como vetor de ataque contra usuários da Web3. Através de links maliciosos, pelo menos uma carteira foi esvaziada em 10 Bitcoin (BTC). 

O ataque Lottie Player afetou projetos amplamente utilizados como 1inch e Mover. O ataque ao 1inch pode ser especialmente prejudicial, visto que o serviço de negociação DEX está entre os mais utilizados no Ethereum. 

A Blockaid também relatou ter disseminado conexões maliciosas para carteiras digitais por meio de seu site. O Bubble foi outro site com foco na experiência do usuário afetado pelos pop-ups maliciosos e foi um dos primeiros a ser relatado. O Bubble também é a fonte para o desenvolvimento de aplicativos de terceiros, que podem ter sido afetados durante as horas em que as versões antigas estavam ativas. 

Pesquisadores da Blockaid identificaramdentDrainer como a fonte mais provável do ataque. A versão maliciosa do Lottie Player foi removida, mas não antes de disseminar links falsos para assinatura com carteiras Web3 amplamente utilizadas. O ataque está ativo há pelo menos 12 horas, aumentando os saldos em diversasdentdo ataque.

O ataque foi detectado inicialmente quando uma carteira teve seus 10 BTC esvaziados, o que levou à origem dos links falsos. O risco residia na rápida assinatura de todas as solicitações, incluindo o acesso permanente às carteiras. Isso permitiu que os atacantes esvaziassem até mesmo Avalanche C-Chain, roubando uma forma de BTC encapsulado. O ataque em si não exigia uma Bitcoin , mas se baseava na necessidade de conectividade com a Web3.

⚠️ Há 3 horas, uma vítima perdeu 10 BTC (US$ 723.436) ao assinar um golpe de phishing.

Este roubo provavelmente está relacionado ao ataque à cadeia de suprimentos da Lottie Player ocorrido hoje mais cedo. https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9

— Detector de Fraudes | Web3 Anti-Fraudes (@realScamSniffer) 31 de outubro de 2024

Usuários também observaram que o Lottie Player preenchia uma rota Web3 com uma transação maliciosa quando usado para acessar sites da maneira usual. Analistas notaram que o ataque tinha como alvo Ethereum e blockchains compatíveis com a EVM. 

Os endereços dos atacantes continuam apresentando atividade, afetando pequenas quantidades de diversos tokens Web3. Por enquanto, a extensão total do ataque não foi contabilizada e pode ter afetado outros tokens. Os atacantes estão trocando os tokens rapidamente por meio do Uniswap ou até mesmo do MetaMask Swap.

O ataque a Lottie Player se espalhou para vários locais

O ataque Lottie Player exibiu uma tela muito familiar para usuários da Web3, incentivando-os a conectar algumas das principais carteiras, incluindo MetaMask, WalletConnect e outras.

Até mesmo a TryHackMe apresentou o problema com o pop-up, mas migrou para uma versão anterior. O problema foi relatado por outros usuários de sites populares. 

O ataque afetou duas versões do Lottie Player, sendo detectado inicialmente no final do dia 30 de outubro. Os ataques originaram-se das versões 2.0.5 ou superiores. Os proprietários dos sites tiveram que solucionar o ataque por conta própria nas primeiras horas, recorrendo a outras ferramentas ou a versões mais antigas do Lottie Player. Alguns optaram por excluir os scripts como medida de precaução. 

Os proprietários das carteiras ainda podem ter que revogar as permissões, caso tenham se conectado a algum dos links injetados. Sites como o 1inch atraem mais de 590 mil usuários mensais e podem ter afetado diversas carteiras não detectadas.

A equipe da Lottie Player publica versão segura

A equipe do Lottie Player reagiu enviando uma nova versão legítima, a 2.0.8, e removendo as versões contaminadas das publicações anteriores. A equipe observou que havia três versões com defeito, publicadas diretamente no NPM usando um token de acesso comprometido de um desenvolvedor com as permissões de publicação necessárias. A equipe informou que nenhum outro repositório ou biblioteca foi afetado. 

O Lottie Player é amplamente utilizado para animações e pequenos detalhes em sites, mas foi adicionado à lista de distribuidores de links maliciosos. Esses tipos de ataques visam carteiras individuais, aumentando o risco de endereços envenenados, ataques diretos em e-mails e mensagens, e versões falsas de sites. 

O ataque ocorre durante a próxima fase de alta do mercado de criptomoedas, acelerando as tentativas de roubar tokens mais valiosos. Conectar uma carteira deve ser feito apenas para um propósito específico, evitando permissões permanentes para assinatura de transações. Abrir uma conexão de carteira imediatamente após acessar um site pode ser um sinal de alerta.