文章《加密黑客再次出击:Lottie Player被攻破,用户损失10 BTC!》首次出现在Coinpedia金融科技新闻上
在对web3领域的重大协调攻击中,链上侦探今天早些时候发现了Lottie Player上的大规模供应链攻击。根据LottieFiles团队的说法,攻击者成功地在多个Lottie Player版本中植入了漏洞,包括2.05、2.06和2.0.7。值得注意的是,这些版本已在GitHub的npm平台上上传和发布。
LottieFiles团队指出:“未经授权的版本包含代码,提示用户连接到他们的加密钱包。大量通过第三方CDN使用该库的用户在未固定版本的情况下,自动获得了作为最新发布的受损版本。”
立即缓解措施
LottieFiles团队目前正在调查此事件,因为据信一名具有必要权限的开发人员协助了此次攻击。LottieFiles团队指出,他们发布了一个新的安全版本,称为2.0.8,这是原始Lottie Player版本2.0.4的复制品。
简而言之:自大约两个小时前以来,流行的JS库lottie-player上发生了大规模供应链攻击,该攻击在合法网站上生成攻击者的Web3钱包连接弹窗。我将在这里写出我们所知道的、可以采取的措施以及如何在野外检测到它。
— Nagli (@galnagli) 2024年10月31日
最重要的是,LottieFiles团队已从npm平台撤下了受影响的包版本,以减轻进一步的损害。
此外,LottieFiles团队撤销了受影响开发人员的所有访问权限和相关服务账户。
Lottie Player供应链攻击的影响
Lottie Player今天早些时候遭遇了一次供应链攻击,影响了1inch和Movement等项目。我们的系统自动阻止了受影响的域名,以确保您的安全!
— Scam Sniffer | Web3反诈骗 (@realScamSniffer) 2024年10月31日
根据链上分析平台Scam Sniffer的说法,Lottie Player供应链攻击使以1inch(1INCH)和Movement网络为首的主要去中心化应用程序(Dapps)受到影响。由于攻击者的动机是耗尽用户资金,1inch协议已承诺通过其网络向所有受影响用户退款。
与此同时,1-inch团队已建议所有受影响的用户通过revoke.cash撤销来自恶意地址的ERC20智能合约授权,以防止进一步的损害。根据链上数据分析,一名web3用户今天早些时候因Lottie Player供应链攻击损失了10个比特币,价值超过72万美元。