Tin tặc tiền điện tử lại tấn công: Người chơi Lottie bị xâm phạm, người dùng mất 10 BTC!

Là một nhà nghiên cứu dày dạn kinh nghiệm đã chứng kiến ​​nhiều sự cố an ninh mạng trong không gian tiền điện tử, tôi phải nói rằng cuộc tấn công chuỗi cung ứng Lottie Player này là một lời nhắc nhở rõ ràng về các mối đe dọa luôn hiện hữu đang rình rập trong bối cảnh kỹ thuật số của chúng ta. Tác động của cuộc tấn công đối với các Dapp lớn như 1inch và mạng Movement nhấn mạnh tính liên kết của hệ sinh thái web3 của chúng tôi và các tác động xếp tầng tiềm ẩn của một lỗ hổng duy nhất.

Hôm nay, người ta đã phát hiện ra rằng một cuộc tấn công phối hợp, quy mô lớn nhắm vào lĩnh vực web3, đặc biệt là Lottie Player. Theo nhóm của LottieFiles, các tác nhân độc hại đã chèn lỗi vào nhiều phiên bản Lottie Player khác nhau, chẳng hạn như phiên bản 2.05, 2.06 và 2.0.7. Các phiên bản bị xâm nhập này sau đó đã được tải lên và phổ biến thông qua nền tảng npm của GitHub.

Nếu không được phép, một số phiên bản nhất định bao gồm mã yêu cầu quyền truy cập vào ví tiền điện tử của người dùng. Điều đáng ngạc nhiên là nhiều người dùng sử dụng thư viện thông qua Mạng phân phối nội dung (CDN) của bên thứ ba mà không có phiên bản cụ thể lại nhận được phiên bản bị lỗi vì đây được coi là bản cập nhật mới nhất”, nhóm LottieFiles chỉ ra.

Hành động giảm thiểu ngay lập tức

Nhóm LottieFiles đang tích cực xem xét vụ việc gần đây vì họ nghi ngờ một nhà phát triển có đủ quyền có thể đã xúi giục cuộc tấn công. Đáng chú ý, họ đã phát hành phiên bản bảo mật mới, được gắn nhãn là 2.0.8, về cơ bản là bản sao cập nhật của phiên bản Lottie Player 2.0.4 gốc.

Về cơ bản, nhóm LottieFiles đã xóa các phiên bản gói bị ảnh hưởng khỏi kho lưu trữ npm để ngăn chặn bất kỳ tác hại bổ sung nào.

Hơn nữa, nhóm LottieFiles đã hành động bằng cách vô hiệu hóa tất cả quyền truy cập và các tài khoản liên quan được liên kết với nhà phát triển bị ảnh hưởng.

Tác động của cuộc tấn công chuỗi cung ứng của người chơi Lottie

Dựa trên những phát hiện từ phân tích trực tuyến của Scam Sniffer, một cuộc tấn công chuỗi cung ứng nhắm vào Lottier Player đã xâm nhập vào các ứng dụng phi tập trung (Dapps) quan trọng, bao gồm cả mạng 1inch và Movement. Cuộc tấn công nhằm mục đích làm rỗng tiền của người dùng, nhưng giao thức 1inch đã hứa sẽ bồi thường cho tất cả người dùng bị ảnh hưởng thông qua hệ thống của nó.

Hiện tại, nhóm 1 inch khuyến nghị người dùng bị ảnh hưởng nên hủy phê duyệt hợp đồng ERC20 của họ khỏi các tài khoản đáng ngờ thông qua revoke.cash, để đề phòng mọi thiệt hại bổ sung. Đáng tiếc, một sự cố đáng tiếc đã xảy ra hôm nay khi một người dùng bị mất khoảng 10 Bitcoin, tương đương hơn 720.000 đô la, do cuộc tấn công chuỗi cung ứng của Lottie Player.

• Lừa đảo
• Đánh giá xem giá Ethereum hiện có nguy cơ giảm 10% hay không
• Người xem The Day of the Jackal chia sẻ sự phẫn nộ của họ về vấn đề ‘khó chịu’ với Sky TV khi loạt phim mới của Eddie Redmayne ra rạp
• Người hâm mộ Angelina Jolie phát cuồng với trailer mới nhất của bộ phim tiểu sử về Maria Callas: ‘Hãy trao cho cô ấy tất cả các giải Oscar!’
• Đoạn video được khai quật cho thấy mối quan hệ đáng kinh ngạc của Liam Payne và Rita Ora khi ca sĩ bày tỏ sự ngưỡng mộ đầy cảm xúc tại EMAs
• Danielle Peazer, người yêu cũ của Liam Payne chia sẻ tuyên bố cảm động chỉ vài ngày sau khi tham dự đám tang của ngôi sao One Direction
• Sự kiện Thiên nga xám năm 2025 có thể định hình thị trường tiền điện tử như thế nào
• ‘Venom: The Last Dance’ tiến vào ngôi vương phòng vé Anh và Ireland
• ‘The Day of the Jackal’ của Eddie Redmayne và Lashana Lynch là một bộ phim kinh dị về sát thủ thú vị: Đánh giá truyền hình
• MAFS 2025: Cặp đôi sẽ chia cắt nước Úc: Jacqui và Ryan trở thành cặp đôi bùng nổ nhất lịch sử chương trình

2024-10-31 11:52