Серьезное нарушение безопасности затронуло несколько децентрализованных приложений (dApps), причем атака была вызвана вредоносным кодом, внедренным в Lottie Player, широко используемую библиотеку анимации JavaScript.
В атаке использовались недавние обновления пакета npm Lottie Player, в частности версии с 2.0.5 по 2.0.7, в которых хакеры внедряли вредоносный код в файлы JSON, отображающие анимацию на веб-сайтах.
По данным Scam Sniffer, платформы, предназначенной для защиты пользователей от онлайн-мошенничества, по крайней мере один человек потерял 10 BTC (723 000 долларов США) после того, как по незнанию подписал фишинговую транзакцию, связанную с взломом.
Blockaid, платформа кибербезопасности, отслеживающая инцидент, подтвердила в среду, что злоумышленники использовали поддельное приглашение на подключение к кошельку, что привело пользователей к вредоносному ПО «Ace Drainer», которое имитирует законные соединения для обмана пользователей.
По данным Blockaid, хакеры добавили в файлы Lottie Player вредоносный код, превратив эти анимации в точки входа для потенциальных мошенников. По сути, когда пользователи посещали сайты с этой взломанной библиотекой, им показывали поддельные всплывающие окна с просьбой подключить свои цифровые кошельки.
Однако эти запросы контролировались хакерами и могли предоставить им несанкционированный доступ к средствам пользователей.
В ответ на атаку вице-президент по разработке LottieFiles Джавиш Хамид подтвердил в среду, что затронутые версии были удалены из npm и была выпущена безопасная версия (2.0.8).
LottieFiles указала Decrypt на свое публичное заявление относительно разбивки событий, когда ее попросили прокомментировать.
Хамид отметил, что взлом затронул аккаунт старшего инженера на GitHub, через который во вторник злоумышленники распространили три скомпрометированных обновления всего за три часа.
С тех пор LottieFiles отозвала весь доступ к затронутой учетной записи разработчика и предприняла дальнейшие шаги для предотвращения подобных инцидентов в будущем.
Этот тип «атаки на цепочку поставок», когда хакеры проникают в широко используемое программное обеспечение, на которое полагаются многие веб-сайты, может иметь широкомасштабные последствия. В этом случае скомпрометированные версии Lottie Player были автоматически добавлены на многие сайты, что облегчило хакерам доступ к пользователям.
Децентрализованная платформа-агрегатор 1inch, одна из основных целей атаки, заверила пользователей в социальных сетях, что пострадало только ее веб-приложение, а приложение кошелька и основные протоколы остаются в безопасности.
Нарушения безопасности в широко используемых библиотеках и инструментах стали критической проблемой, поскольку хакеры используют уязвимости, которые позволяют им получить доступ к активам ничего не подозревающих пользователей.
Ранее в этом месяце владелец токена PEPE потерял 1,39 миллиона долларов после неосознанного подписания вредоносной транзакции Permit2.
Ежедневный информационный бюллетень
Начните каждый день с главных новостей прямо сейчас, а также с оригинальных статей, подкастов, видеороликов и многого другого.
