Lottie Player ถูกโจมตีด้วยการโจมตีของห่วงโซ่อุปทาน ส่งผลกระทบต่อกระเป๋าเงินหนึ่งใบที่มี 10 Bitcoin (BTC) เครื่องมือ Wordpress ถูกนำไปใช้ในทางที่ผิดเพื่อส่งลิงก์ที่เป็นอันตรายไปยังผู้ใช้ Web3 ส่งผลให้กระเป๋าเงินหมดประสิทธิภาพ
Lottie Player ซึ่งเป็นไลบรารีแอนิเมชั่น Wordpress ถูกใช้เป็นเวกเตอร์การโจมตีสำหรับผู้ใช้ Web3 ผ่านลิงก์ที่เป็นอันตราย กระเป๋าเงินอย่างน้อยหนึ่งใบถูกระบายออกจาก 10 Bitcoin (BTC)
การโจมตี Lottie Player ส่งผลกระทบต่อโปรเจ็กต์ที่ใช้กันอย่างแพร่หลาย เช่น 1inch และ Mover การโจมตีขนาด 1 นิ้วอาจเป็นอันตรายอย่างยิ่ง เนื่องจากบริการซื้อขาย DEX เป็นหนึ่งในบริการที่ใช้กันอย่างแพร่หลายมากที่สุดบน Ethereum
Blockaid ยังรายงานว่าได้แพร่กระจายการเชื่อมต่อกระเป๋าเงินที่เป็นอันตรายผ่านทางเว็บไซต์ Bubble เป็นอีกหนึ่งเว็บไซต์ด้านหน้าที่ได้รับผลกระทบจากป๊อปอัปที่เป็นอันตราย และกลายเป็นหนึ่งในเว็บไซต์แรกๆ ที่ถูกรายงาน Bubble ยังเป็นแหล่งที่มาสำหรับการสร้างแอปของบุคคลที่สาม ซึ่งอาจได้รับผลกระทบในช่วงไม่กี่ชั่วโมงที่มีการใช้งานเวอร์ชันเก่า
นักวิจัยจาก Blockaid ระบุว่า Ace Drainer เป็นสาเหตุที่เป็นไปได้มากที่สุดของการโจมตี Lottie Player เวอร์ชันที่เป็นอันตรายได้ถูกลบออกไปแล้ว แต่ไม่ก่อนที่จะแพร่กระจายลิงก์ปลอมสำหรับการลงนามด้วยกระเป๋าเงิน Web3 ที่ใช้กันอย่างแพร่หลาย การโจมตีดำเนินไปเป็นเวลาอย่างน้อย 12 ชั่วโมง ซึ่งเพิ่มยอดคงเหลือในกระเป๋าเงินการโจมตีหลาย dent
การโจมตีดังกล่าวเกิดขึ้นครั้งแรกเมื่อกระเป๋าเงินหมด 10 BTC ซึ่งนำไปสู่แหล่งที่มาของลิงก์ปลอม ความเสี่ยงอยู่ที่การลงนามคำขอทั้งหมดอย่างรวดเร็ว รวมถึงการเข้าถึงกระเป๋าเงินแบบถาวร สิ่งนี้ทำให้ผู้โจมตีสามารถระบายที่อยู่ Avalanche C-Chain โดยขโมยรูปแบบของ BTC ที่ห่อ ไว้ การโจมตีไม่ได้ร้องขอกระเป๋าเงิน Bitcoin ที่ควบคุมตนเอง แต่อาศัยความจำเป็นในการเชื่อมต่อ Web3
⚠️ 3 ชั่วโมงที่แล้ว เหยื่อสูญเสีย 10 BTC ($723,436) เนื่องจากการลงนามในธุรกรรมฟิชชิ่ง
การโจรกรรมครั้งนี้น่าจะเกี่ยวข้องกับการโจมตีห่วงโซ่อุปทานของ Lottie Player ในวันนี้ https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9
— ดมกลิ่นหลอกลวง | Web3 Anti-Scam (@realScamSniffer) 31 ตุลาคม 2024
Users also noted the Lottie Player would populate a Web3 route with a malicious transaction when used for websites in the usual way. Analysts noted the attack targeted Ethereum and EVM-compatible chains.
The attackers’ addresses continue to show activity, affecting small holdings of various Web3 tokens. For now, the entire size of the attack has not been accounted, and may have affected other tokens. The attackers are swapping the tokens quickly through Uniswap, or even through MetaMask swap.
The Lottie Player attack displayed a very familiar screen for Web3 users, urging them to connect some of the top wallets, including MetaMask, WalletConnect, and others.
Even the TryHackMe platform experienced the popup, but moved to an older version. The issue has been reported by other users of popular websites.
The attack affected two versions of Lottie Player, first noticed late on October 30. The attacks originated from versions 2.0.5 or higher. Website owners had to clear the attack themselves in the initial hours, by reverting to other tools or older versions of Lottie Player. Some have chosen to delete the scripts as a precaution.
Wallet owners may still have to revoke permissions, if they have connected to any of the injected links. Sites like 1inch draw in more than 590K monthly users, and may have affected multiple undetected wallets.
The Lottie Player team reacted by uploading a legitimate new version 2.0.8, while unpublishing the contaminated scripts. The team noted the faulty versions were three in total, published directly to NPM using a compromised access token from a developer with the required publishing privileges. The team notes no other repositories or libraries have been affected.
Lottie Player is widely used for animations and minor features on websites, but has been added to the list of distributors for malicious links. Those types of attacks target individual wallets, adding to the risk of poisoned addresses, direct targeting in email and messages, and fake website versions.
The attack happens during the next stage of a crypto bull market, accelerating attempts to steal more valuable tokens. Connecting a wallet is best done for a specific purpose, avoiding full-time permissions for signing transactions. Launching a wallet connection immediately after entering a website may be a red flag.