Lottie Player fue víctima de un ataque a la cadena de suministro, que afectó a una billetera con 10 Bitcoin (BTC). La herramienta Wordpress ha sido utilizada de forma abusiva para enviar enlaces maliciosos a usuarios de Web3, vaciando efectivamente las billeteras.
Lottie Player, la biblioteca de animaciones de Wordpress, ha sido utilizada como vector de ataque para usuarios de Web3. Mediante enlaces maliciosos, al menos una billetera ha sido vaciada de 10 Bitcoin (BTC).
El ataque a Lottie Player ha afectado a proyectos muy utilizados como 1inch y Mover. El ataque a 1inch puede ser especialmente dañino, ya que el servicio de comercio DEX es uno de los más utilizados en Ethereum.
Blockaid también ha informado de que ha estado difundiendo conexiones de billetera maliciosas a través de su sitio web. Bubble fue otro sitio web frontal afectado por las ventanas emergentes maliciosas y se convirtió en uno de los primeros en ser denunciados. Bubble también es la fuente para la creación de aplicaciones de terceros, que podrían haberse visto afectadas en las horas en las que las versiones anteriores estaban activas.
Los investigadores de Blockaid han identificado a Ace Drainer como la fuente más probable del ataque. La versión maliciosa de Lottie Player ha sido eliminada, pero no antes de difundir enlaces falsos para firmar con monederos Web3 ampliamente utilizados. El ataque ha estado activo durante al menos 12 horas, aumentando los saldos en varios monederos de ataque identificados.
Lottie Player lanzó una ventana emergente solicitando la conexión de una billetera de criptomonedas. | Fuente: GitHub
El ataque se detectó por primera vez cuando una billetera se quedó sin 10 BTC, lo que llevó a la fuente de enlaces falsos. El riesgo estaba en firmar rápidamente todas las solicitudes, incluido el acceso permanente a las billeteras. Esto permitió a los atacantes incluso vaciar las direcciones de la C-Chain de Avalanche, robando una forma de BTC envuelto. El ataque en sí no solicitaba una billetera Bitcoin autocustodiada, sino que se basaba en la necesidad de conectividad Web3.
⚠️ Hace 3 horas, una víctima perdió 10 BTC ($723,436) debido a la firma de una transacción de phishing.
Es probable que este robo esté relacionado con el ataque a la cadena de suministro de Lottie Player ocurrido hoy. https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9
— Detector de estafas | Web3 Anti-Scam (@realScamSniffer) 31 de octubre de 2024
Los usuarios también notaron que Lottie Player llenaba una ruta Web3 con una transacción maliciosa cuando se usaba para sitios web de la manera habitual. Los analistas notaron que el ataque estaba dirigido a cadenas compatibles con Ethereum y EVM.
Las direcciones de los atacantes siguen mostrando actividad, afectando pequeñas tenencias de varios tokens Web3. Por ahora, no se ha contabilizado el tamaño total del ataque, y es posible que haya afectado a otros tokens. Los atacantes están intercambiando los tokens rápidamente a través de Uniswap, o incluso a través del intercambio de MetaMask.
El ataque a Lottie Player se propagó a varios sitios
El ataque de Lottie Player mostró una pantalla muy familiar para los usuarios de Web3, instándolos a conectar algunas de las principales billeteras, incluidas MetaMask, WalletConnect y otras.
Incluso la plataforma TryHackMe experimentó la ventana emergente, pero se trasladó a una versión anterior. Otros usuarios de sitios web populares informaron sobre el problema.
El ataque afectó a dos versiones de Lottie Player, detectado por primera vez a finales del 30 de octubre. Los ataques se originaron en las versiones 2.0.5 o superiores. Los propietarios de sitios web tuvieron que solucionar el ataque ellos mismos en las primeras horas, volviendo a otras herramientas o versiones anteriores de Lottie Player. Algunos han optado por eliminar los scripts como medida de precaución.
Es posible que los propietarios de billeteras aún tengan que revocar los permisos si se han conectado a alguno de los enlaces inyectados. Sitios como 1inch atraen a más de 590.000 usuarios mensuales y pueden haber afectado a varias billeteras no detectadas.
El equipo de Lottie Player publica una versión segura
El equipo de Lottie Player reaccionó subiendo una nueva versión legítima 2.0.8, mientras anulaba la publicación de los scripts contaminados. El equipo notó que las versiones defectuosas eran tres en total, publicadas directamente en NPM usando un token de acceso comprometido de un desarrollador con los privilegios de publicación requeridos. El equipo notó que ningún otro repositorio o biblioteca se vio afectado.
Lottie Player se usa ampliamente para animaciones y funciones menores en sitios web, pero se ha agregado a la lista de distribuidores de enlaces maliciosos. Ese tipo de ataques se dirigen a billeteras individuales, lo que aumenta el riesgo de direcciones envenenadas, ataques directos en correos electrónicos y mensajes, y versiones falsas de sitios web.
El ataque ocurre durante la siguiente etapa de un mercado alcista de criptomonedas, lo que acelera los intentos de robar tokens más valiosos. La mejor manera de conectar una billetera es con un propósito específico, evitando permisos permanentes para firmar transacciones. Iniciar una conexión de billetera inmediatamente después de ingresar a un sitio web puede ser una señal de alerta.