В отношении Lottie Player была совершена атака на цепочку поставок, в результате которой из кошелька Avalanche было украдено 10 упакованных BTC

Lottie Player подвергся атаке на цепочку поставок, в результате чего пострадал один кошелек с 10 Bitcoin (BTC). Инструмент WordPress был использован для рассылки вредоносных ссылок пользователям Web3, что фактически привело к опустошению кошельков. 

Библиотека анимации Lottie Player для WordPress использовалась в качестве вектора атаки на пользователей Web3. Через вредоносные ссылки как минимум из одного кошелька было выведено 10 Bitcoin (BTC). 

Атака Lottie Player затронула такие широко используемые проекты, как 1inch и Mover. Атака 1inch может быть особенно опасной, поскольку этот децентрализованный торговый сервис является одним из наиболее популярных на Ethereum. 

Компания Blockaid также сообщила о распространении вредоносных подключений к кошелькам через свой веб-сайт. Bubble стал еще одним сайтом, пострадавшим от вредоносных всплывающих окон, и одним из первых, о ком поступили сообщения. Bubble также является платформой для разработки сторонних приложений, которые могли быть затронуты в часы активности старых версий. 

Исследователи из Blockaid определилиdentDrainer как наиболее вероятный источник атаки. Вредоносная версия Lottie Player была удалена, но перед этим распространила поддельные ссылки для входа в систему с помощью широко используемых Web3-кошельков. Атака продолжалась как минимум 12 часов, увеличив балансы в нескольких выявленныхdentатаки.

Атака была впервые зафиксирована, когда из кошелька было выведено 10 BTC, что привело к появлению поддельных ссылок. Риск заключался в быстрой подписи всех запросов, включая постоянный доступ к кошелькам. Это позволило злоумышленникам даже опустошить Avalanche C-Chain, украв своего рода обернутые BTC. Сама атака не требовала наличия самокастодиального Bitcoin кошелька, а основывалась на необходимости подключения к Web3.

⚠️ 3 часа назад жертва потеряла 10 BTC (723 436 долларов США) из-за участия в фишинговой транзакции.

Вероятно, эта кража связана с атакой на цепочку поставок компании Lottie Player, произошедшей сегодня ранее. https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 31 октября 2024 г.

Пользователи также отметили, что Lottie Player при обычном использовании на веб-сайтах заполнял маршрут Web3 вредоносной транзакцией. Аналитики отметили, что атака была направлена ​​на блокчейны, совместимые с Ethereum и EVM. 

Адреса злоумышленников продолжают демонстрировать активность, затрагивающую небольшие объемы различных токенов Web3. На данный момент полный масштаб атаки не установлен и, возможно, затронул и другие токены. Злоумышленники обменивают токены через Uniswap или даже через MetaMask Swap.

Атака на Lottie Player распространилась на множество сайтов

В результате атаки Lottie Player пользователям Web3 был показан очень знакомый экран, призывающий их подключить некоторые из ведущих кошельков, включая MetaMask, WalletConnect и другие.

Даже TryHackMe столкнулась с всплывающим окном, но перешла на более старую версию. О проблеме сообщили и другие пользователи популярных веб-сайтов. 

Атака затронула две версии Lottie Player, впервые обнаруженные поздно вечером 30 октября. Атаки исходили из версий 2.0.5 и выше. Владельцам веб-сайтов пришлось самостоятельно устранять последствия атаки в первые часы, возвращаясь к другим инструментам или более старым версиям Lottie Player. Некоторые решили удалить скрипты в качестве меры предосторожности. 

Владельцам кошельков, возможно, все еще придется отзывать разрешения, если они перешли по какой-либо из внедренных ссылок. Такие сайты, как 1inch, привлекают более 590 тысяч пользователей в месяц и могли затронуть множество незамеченных кошельков.

Команда Lottie Player опубликовала безопасную версию

Команда Lottie Player отреагировала, загрузив легитимную новую версию 2.0.8, одновременно удалив из публикации зараженные скрипты. Команда отметила, что всего было три неисправных версии, опубликованные непосредственно в NPM с использованием скомпрометированного токена доступа от разработчика, обладающего необходимыми правами на публикацию. Команда отмечает, что другие репозитории или библиотеки не пострадали. 

Lottie Player широко используется для анимации и второстепенных функций на веб-сайтах, но был добавлен в список распространителей вредоносных ссылок. Подобные атаки нацелены на отдельные кошельки, что увеличивает риск отравления адресов, прямой рассылки электронных писем и сообщений, а также создания поддельных версий веб-сайтов. 

Атака происходит на следующем этапе бычьего рынка криптовалют, ускоряя попытки кражи более ценных токенов. Подключение кошелька лучше всего осуществлять для конкретной цели, избегая получения полных прав доступа для подписания транзакций. Запуск подключения кошелька сразу после входа на веб-сайт может быть тревожным сигналом.