一場重大安全漏洞事件影響了多個去中心化應用程式(dApps),此次攻擊源於惡意代碼被注入到Lottie Player,一個被廣泛使用的JavaScript動畫庫中。
此次攻擊利用了Lottie Player的npm套件的最近更新,特別是在2.0.5到2.0.7版本中,駭客在顯示網站動畫的JSON文件中嵌入了惡意代碼。
根據Scam Sniffer——一個旨在保護用戶免受網上詐騙的平台——至少有一名個人在不知情的情況下簽署了一筆與該漏洞相關的釣魚交易,損失了10比特幣(72.3萬美元)。
監控此次事件的網絡安全平台Blockaid於週三確認,攻擊者部署了一個假的錢包連接提示,這引導用戶至名為”Ace Drainer”的排水惡意軟件,該軟件模仿合法連接以欺騙用戶。
根據Blockaid的說法,駭客將有害代碼添加到Lottie Player的文件中,將這些動畫變成潛在詐騙的入口點。基本上,當用戶訪問使用了這個受損庫的網站時,他們會看到假彈出窗口,要求他們連接他們的數位錢包。
然而,這些提示由駭客控制,可能會授予他們未經授權的用戶資金訪問權。
針對此次攻擊,LottieFiles的工程副總裁Jawish Hameed於週三確認,受影響的版本已從npm中移除,並釋出了一個安全版本(2.0.8)。
LottieFiles在被要求評論時,指向Decrypt其有關事件細節的公開聲明。
Hameed指出,漏洞涉及到一名高級工程師的GitHub帳戶,攻擊者通過該帳戶在週二短短三小時內推送了三個受損的更新。
LottieFiles隨後撤銷了受影響開發者帳戶的所有訪問權限,並採取進一步措施以防止未來事件發生。
這類“供應鏈攻擊”——駭客滲透到許多網站依賴的廣泛使用的軟件中——可能產生廣泛的後果。在這個案例中,受損的Lottie Player版本被自動引入許多網站,使得駭客更容易接觸到用戶。
去中心化聚合平台1inch,作為此次攻擊的主要目標之一,在社交媒體上向用戶保證,只有其網頁dApp受到影響,錢包應用程序和核心協議仍然安全。
在廣泛使用的庫和工具中出現的安全漏洞已成為一個關鍵問題,因為駭客利用這些漏洞能夠訪問毫無防備的用戶資產。
本月早些時候,一名PEPE代幣持有人在不知情的情況下簽署了一筆惡意的Permit2交易,損失了139萬美元。
編輯:Sebastian Sinclair