Tin tặc tiền điện tử lại tấn công: Người chơi Lottie bị xâm phạm, người dùng mất 10 BTC!

by

Là một nhà nghiên cứu dày dạn kinh nghiệm đã chứng kiến ​​nhiều sự cố an ninh mạng trong không gian tiền điện tử, tôi phải nói rằng cuộc tấn công chuỗi cung ứng Lottie Player này là một lời nhắc nhở rõ ràng về các mối đe dọa luôn hiện hữu đang rình rập trong bối cảnh kỹ thuật số của chúng ta. Tác động của cuộc tấn công đối với các Dapp lớn như 1inch và mạng Movement nhấn mạnh tính liên kết của hệ sinh thái web3 của chúng tôi và các tác động xếp tầng tiềm ẩn của một lỗ hổng duy nhất.

Hôm nay, người ta đã phát hiện ra rằng một cuộc tấn công phối hợp, quy mô lớn nhắm vào lĩnh vực web3, đặc biệt là Lottie Player. Theo nhóm của LottieFiles, các tác nhân độc hại đã chèn lỗi vào nhiều phiên bản Lottie Player khác nhau, chẳng hạn như phiên bản 2.05, 2.06 và 2.0.7. Các phiên bản bị xâm nhập này sau đó đã được tải lên và phổ biến thông qua nền tảng npm của GitHub.

Nếu không được phép, một số phiên bản nhất định bao gồm mã yêu cầu quyền truy cập vào ví tiền điện tử của người dùng. Điều đáng ngạc nhiên là nhiều người dùng sử dụng thư viện thông qua Mạng phân phối nội dung (CDN) của bên thứ ba mà không có phiên bản cụ thể lại nhận được phiên bản bị lỗi vì đây được coi là bản cập nhật mới nhất”, nhóm LottieFiles chỉ ra.

Hành động giảm thiểu ngay lập tức

Nhóm LottieFiles đang tích cực xem xét vụ việc gần đây vì họ nghi ngờ một nhà phát triển có đủ quyền có thể đã xúi giục cuộc tấn công. Đáng chú ý, họ đã phát hành phiên bản bảo mật mới, được gắn nhãn là 2.0.8, về cơ bản là bản sao cập nhật của phiên bản Lottie Player 2.0.4 gốc.

Tóm tắt: Một cuộc tấn công chuỗi cung ứng đáng kể đã diễn ra trong khoảng hai giờ trên thư viện JavaScript của người chơi xổ số được sử dụng rộng rãi, khiến những người dùng khiêm tốn kết nối với ví Web3 của kẻ tấn công trên các trang web hợp pháp. Sau đây là những gì chúng tôi biết, các hành động có thể xảy ra và phương pháp phát hiện.

— Nagli (@galnagli) Ngày 31 tháng 10 năm 2024

Về cơ bản, nhóm LottieFiles đã xóa các phiên bản gói bị ảnh hưởng khỏi kho lưu trữ npm để ngăn chặn bất kỳ tác hại bổ sung nào.

Hơn nữa, nhóm LottieFiles đã hành động bằng cách vô hiệu hóa tất cả quyền truy cập và các tài khoản liên quan được liên kết với nhà phát triển bị ảnh hưởng.

Tác động của cuộc tấn công chuỗi cung ứng của người chơi Lottie

Hôm nay, Lottie Player đã trải qua một cuộc tấn công mạng vào chuỗi cung ứng của mình, cuộc tấn công này có khả năng ảnh hưởng đến các dự án như 1inch và Movement.

Để đảm bảo tính bảo mật của bạn, hệ thống của chúng tôi đã chặn ngay các miền bị xâm nhập.

— Scam Sniffer | Chống lừa đảo Web3 (@realScamSniffer) Ngày 31 tháng 10 năm 2024

Dựa trên những phát hiện từ phân tích trực tuyến của Scam Sniffer, một cuộc tấn công chuỗi cung ứng nhắm vào Lottier Player đã xâm nhập vào các ứng dụng phi tập trung (Dapps) quan trọng, bao gồm cả mạng 1inch và Movement. Cuộc tấn công nhằm mục đích làm rỗng tiền của người dùng, nhưng giao thức 1inch đã hứa sẽ bồi thường cho tất cả người dùng bị ảnh hưởng thông qua hệ thống của nó.

Hiện tại, nhóm 1 inch khuyến nghị người dùng bị ảnh hưởng nên hủy phê duyệt hợp đồng ERC20 của họ khỏi các tài khoản đáng ngờ thông qua revoke.cash, để đề phòng mọi thiệt hại bổ sung. Đáng tiếc, một sự cố đáng tiếc đã xảy ra hôm nay khi một người dùng bị mất khoảng 10 Bitcoin, tương đương hơn 720.000 đô la, do cuộc tấn công chuỗi cung ứng của Lottie Player.

2024-10-31 11:52