Categories: Bitcoin

Инструмент анимации Лотти-плеер, пострадавший от атаки на цепочку поставок, стал причиной кражи биткойнов на 723 тысячи долларов

Серьезное нарушение безопасности затронуло несколько децентрализованных приложений (dApps), причем атака была вызвана вредоносным кодом, внедренным в Lottie Player, широко используемую библиотеку анимации JavaScript.

В атаке использовались недавние обновления пакета npm Lottie Player, в частности версии с 2.0.5 по 2.0.7, в которых хакеры внедряли вредоносный код в файлы JSON, отображающие анимацию на веб-сайтах.

По данным Scam Sniffer, платформы, предназначенной для защиты пользователей от онлайн-мошенничества, по крайней мере один человек потерял 10 BTC (723 000 долларов США) после того, как по незнанию подписал фишинговую транзакцию, связанную с взломом.

Blockaid, платформа кибербезопасности, отслеживающая инцидент, подтвердила в среду, что злоумышленники использовали поддельное приглашение на подключение к кошельку, что привело пользователей к вредоносному ПО «Ace Drainer», которое имитирует законные соединения для обмана пользователей.

По данным Blockaid, хакеры добавили в файлы Lottie Player вредоносный код, превратив эти анимации в точки входа для потенциальных мошенников. По сути, когда пользователи посещали сайты с этой взломанной библиотекой, им показывали поддельные всплывающие окна с просьбой подключить свои цифровые кошельки.

Однако эти запросы контролировались хакерами и могли предоставить им несанкционированный доступ к средствам пользователей.

В ответ на атаку вице-президент по разработке LottieFiles Джавиш Хамид подтвердил в среду, что затронутые версии были удалены из npm и была выпущена безопасная версия (2.0.8).

LottieFiles указала Decrypt на свое публичное заявление относительно разбивки событий, когда ее попросили прокомментировать.

Хамид отметил, что взлом затронул аккаунт старшего инженера на GitHub, через который во вторник злоумышленники распространили три скомпрометированных обновления всего за три часа.

С тех пор LottieFiles отозвала весь доступ к затронутой учетной записи разработчика и предприняла дальнейшие шаги для предотвращения подобных инцидентов в будущем.

Этот тип «атаки на цепочку поставок», когда хакеры проникают в широко используемое программное обеспечение, на которое полагаются многие веб-сайты, может иметь широкомасштабные последствия. В этом случае скомпрометированные версии Lottie Player были автоматически добавлены на многие сайты, что облегчило хакерам доступ к пользователям.

Децентрализованная платформа-агрегатор 1inch, одна из основных целей атаки, заверила пользователей в социальных сетях, что пострадало только ее веб-приложение, а приложение кошелька и основные протоколы остаются в безопасности.

Нарушения безопасности в широко используемых библиотеках и инструментах стали критической проблемой, поскольку хакеры используют уязвимости, которые позволяют им получить доступ к активам ничего не подозревающих пользователей.

Ранее в этом месяце владелец токена PEPE потерял 1,39 миллиона долларов после неосознанного подписания вредоносной транзакции Permit2.

Ежедневный информационный бюллетень

Начните каждый день с главных новостей прямо сейчас, а также с оригинальных статей, подкастов, видеороликов и многого другого.

Recent Posts

Консультанты по личным финансам оказались в замешательстве из-за биткойн-бума

Несмотря на растущий интерес среди розничных инвесторов, большинство финансовых консультантов по-прежнему не хотят или не…

Solana Devs получила раздачу BONK стоимостью 300 долларов в 2022 году, а сейчас она стоит 1,3 миллиона долларов

Прагматичные инвесторы могут смеяться над волатильными монетами-мемами, но когда они взлетают, они выставляют нас всех…

Илон Маск и DOGE: что нужно знать о Департаменте эффективности правительства

Генеральный директор SpaceX Илон Маск и предприниматель Вивек Рамасвами возглавят новую инициативу правительства США, направленную…

Valhalla Флоки сотрудничает с гоночной командой Kick F1 Sim Racing

Майами, Флорида, 17 ноября 2024 г., GamingWireИгровая платформа Floki Valhalla, предназначенная для зарабатывания денег, объединяется…

Бонк, Мог и Бретт достигли рекордных максимумов, поскольку Dogecoin Spurs Meme Pump

Несколько ценных монет-мемов установили новые рекордно высокие цены в пятницу и субботу после того, как…

Мобильные криптоприложения поднимаются в чартах по мере взрыва биткойнов

Мобильные криптовалютные приложения поднялись на вершину рейтинга App Store на фоне резкого роста цен на…