Lottie Player遭遇供应链攻击，从 Avalanche 钱包中窃取了10个封装好的BTC。

Lottie Player遭遇供应链攻击，导致一个钱包中的10个 Bitcoin (BTC)被盗。攻击者利用WordPress工具向Web3用户发送恶意链接，从而盗空了用户的钱包。. 

WordPress动画库Lottie Player已被用作攻击Web3用户的途径。通过恶意链接，至少一个钱包中的10个 Bitcoin （BTC）被盗走。. 

Lottie Player攻击影响了1inch和Mover等广泛使用的项目。1inch受到的攻击可能尤其严重，因为该去中心化交易所（DEX）是 Ethereum上最常用的交易所之一。. 

也报告称，其网站一直在传播恶意钱包连接。Bubble Blockaid 是另一个受恶意弹窗影响的面向用户的在线网站，也是最早被报道的网站之一。Bubble 也是第三方应用程序的开发平台，这些应用程序可能在旧版本活跃期间受到影响。 

Blockaid 的研究人员已 Acedent此次 余额增加dent。

此次攻击最初被发现是在一个钱包被盗走 10 个比特币之后，由此引出了虚假链接的来源。风险在于攻击者会快速签署所有请求，包括对钱包的永久访问权限。这使得攻击者甚至可以盗走 Avalanche C-Chain 地址中的比特币，窃取一种 封装比特币。该攻击本身并不要求使用自托管的 Bitcoin 钱包，而是依赖于 Web3 连接。

⚠️ 3 小时前，一名受害者因签署钓鱼交易而损失了 10 个比特币（723,436 美元）。.

这起盗窃案很可能与今天早些时候针对 Lottie Player 的供应链攻击有关。https ://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9

— 诈骗嗅探器 | Web3 反诈骗 (@realScamSniffer) 2024年10月31日

用户还注意到，当以常规方式使用 Lottie Player 访问网站时，它会在 Web3 路由中填充恶意交易。分析人士指出，此次攻击的目标是 Ethereum 和与 EVM 兼容的区块链。. 

攻击者的地址持续活跃，影响了少量持有的多种 Web3 代币。目前，攻击的总规模尚未确定，可能还影响了其他代币。攻击者正 交换 通过 Uniswap 甚至 MetaMask 快速

Lottie Player攻击蔓延至多个网站

Lottie Player 攻击向 Web3 用户展示了一个非常熟悉的屏幕，敦促他们连接一些顶级钱包，包括 MetaMask、WalletConnect 等。.

就连 TryHackMe 平台也出现了这个弹窗，但已经切换到了旧版本。其他一些热门网站的用户也报告了这个问题。 

此次攻击影响了两个版本的 Lottie Player，最早于 10 月 30 日晚间被发现。攻击源自 2.0.5 或更高版本。网站所有者在最初几个小时内不得不自行清除攻击，方法是切换到其他工具或旧版本的 Lottie Player。一些网站所有者出于安全考虑，选择删除相关脚本。. 

如果钱包所有者已连接到任何被注入的链接，则可能仍需撤销权限。像 1inch 每月吸引超过 59 万用户，可能已经影响了多个未被发现的钱包。

Lottie Player 团队发布安全版本

Lottie Player 团队迅速做出反应，上传了合法的 2.0.8 新版本，同时 取消发布了 受感染的脚本。团队指出，总共有三个存在问题的版本，这些版本是使用一位拥有发布权限的开发者的被盗访问令牌直接发布到 NPM 上的。团队强调，其他代码库或库均未受到影响。 

Lottie Player 广泛用于网站的动画和一些小功能，但已被列入恶意链接分发商名单。这类攻击针对个人钱包，增加了 地址被污染、电子邮件和短信直接攻击以及网站版本造假的风险。 

此次攻击发生在加密货币牛市的下一阶段，加速了窃取更有价值的代币的企图。连接钱包最好仅用于特定目的，避免授予长期签署交易的权限。在进入网站后立即连接钱包可能是一个危险信号。.