Lottie Player foi atingida por um ataque à cadeia de suprimentos, afetando uma carteira com 10 Bitcoin (BTC). A ferramenta Wordpress foi abusada para enviar links maliciosos para usuários Web3, drenando efetivamente as carteiras.
Lottie Player, a biblioteca de animação do Wordpress, tem sido usada como vetor de ataque para usuários do Web3. Através de links maliciosos, pelo menos uma carteira foi drenada de 10 Bitcoin (BTC).
O ataque ao Lottie Player afetou projetos amplamente utilizados como 1inch e Mover. O ataque de 1 polegada pode ser especialmente prejudicial, já que o serviço de negociação DEX está entre os mais utilizados no Ethereum .
A Blockaid também relatou que tem espalhado conexões de carteira maliciosas através de seu site. Bubble foi outro site frontal afetado pelos pop-ups maliciosos e se tornou um dos primeiros a ser relatado. O Bubble também é a fonte para a construção de aplicativos de terceiros, que poderiam ter sido afetados nas horas em que as versões antigas estavam ativas.
Pesquisadores da Blockaid identificaram Ace Drainer como a fonte mais provável do ataque. A versão maliciosa do Lottie Player foi removida, mas não antes de espalhar links falsos para assinatura com carteiras Web3 amplamente utilizadas. O ataque está ativo há pelo menos 12 horas, aumentando os saldos em diversas carteiras de ataque dent .
O ataque foi notado pela primeira vez quando 10 BTC foram drenados de uma carteira, levando à origem de links falsos. O risco estava em assinar rapidamente todos os pedidos, incluindo o acesso permanente às carteiras. Isso permitiu que os invasores drenassem até mesmo os endereços Avalanche C-Chain, roubando uma forma de BTC embrulhado . O ataque em si não solicitou uma carteira Bitcoin com autocustódia, mas baseou-se na necessidade de conectividade Web3.
⚠️ Há 3 horas, uma vítima perdeu 10 BTC (US$ 723.436) devido à assinatura de uma transação de phishing.
Este roubo provavelmente está relacionado ao ataque à cadeia de suprimentos contra Lottie Player hoje cedo. https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9
- Farejador de golpes | Web3 Anti-Scam (@realScamSniffer) 31 de outubro de 2024
Users also noted the Lottie Player would populate a Web3 route with a malicious transaction when used for websites in the usual way. Analysts noted the attack targeted Ethereum and EVM-compatible chains.
The attackers’ addresses continue to show activity, affecting small holdings of various Web3 tokens. For now, the entire size of the attack has not been accounted, and may have affected other tokens. The attackers are swapping the tokens quickly through Uniswap, or even through MetaMask swap.
The Lottie Player attack displayed a very familiar screen for Web3 users, urging them to connect some of the top wallets, including MetaMask, WalletConnect, and others.
Even the TryHackMe platform experienced the popup, but moved to an older version. The issue has been reported by other users of popular websites.
The attack affected two versions of Lottie Player, first noticed late on October 30. The attacks originated from versions 2.0.5 or higher. Website owners had to clear the attack themselves in the initial hours, by reverting to other tools or older versions of Lottie Player. Some have chosen to delete the scripts as a precaution.
Wallet owners may still have to revoke permissions, if they have connected to any of the injected links. Sites like 1inch draw in more than 590K monthly users, and may have affected multiple undetected wallets.
The Lottie Player team reacted by uploading a legitimate new version 2.0.8, while unpublishing the contaminated scripts. The team noted the faulty versions were three in total, published directly to NPM using a compromised access token from a developer with the required publishing privileges. The team notes no other repositories or libraries have been affected.
Lottie Player is widely used for animations and minor features on websites, but has been added to the list of distributors for malicious links. Those types of attacks target individual wallets, adding to the risk of poisoned addresses, direct targeting in email and messages, and fake website versions.
The attack happens during the next stage of a crypto bull market, accelerating attempts to steal more valuable tokens. Connecting a wallet is best done for a specific purpose, avoiding full-time permissions for signing transactions. Launching a wallet connection immediately after entering a website may be a red flag.