多个去中心化应用程序(dApps)遭遇重大安全漏洞,攻击源于Lottie Player的恶意代码注入。Lottie Player是一个广泛使用的JavaScript动画库。
攻击利用了Lottie Player的npm包最近的更新,具体是在2.0.5到2.0.7版本中,黑客在用于显示网站动画的JSON文件中嵌入了恶意代码。
据Scam Sniffer——一个旨在保护用户免受网络欺诈的平台——表示,至少有一人在不知情的情况下签署了与该漏洞相关的网络钓鱼交易,损失了10个比特币(约合72.3万美元)。
监控该事件的网络安全平台Blockaid在周三确认,攻击者部署了一个假的钱包连接提示,引导用户至“Ace Drainer”恶意软件,该软件模仿合法连接以欺骗用户。
根据Blockaid的说法,黑客在Lottie Player的文件中添加了有害代码,使这些动画成为潜在诈骗的入口点。基本上,当用户访问包含这个受损库的网站时,会看到假弹窗要求他们连接其数字钱包。
然而,这些提示由黑客控制,可能会授予他们对用户资金的未授权访问。
对此,LottieFiles的工程副总裁Jawish Hameed在周三确认,受影响的版本已从npm中移除,并发布了安全版本(2.0.8)。
在被要求评论时,LottieFiles指引Decrypt至其关于事件分解的公开声明。
Hameed指出,此次漏洞涉及一名高级工程师的GitHub账户,攻击者通过该账户在周二短短三小时内推送了三个受损更新。
LottieFiles已撤销了受影响开发者账户的所有访问权限,并采取进一步措施防止未来事件发生。
这种“供应链攻击”——黑客渗透许多网站依赖的广泛使用软件——可能产生广泛影响。在这种情况下,受损的Lottie Player版本自动被许多网站调用,使黑客更容易接触到用户。
作为攻击主要目标之一的去中心化聚合平台1inch在社交媒体上向用户保证,只有其网页dApp受影响,钱包应用程序和核心协议仍然安全。
广泛使用的库和工具的安全漏洞已成为一个关键问题,因为黑客利用这些漏洞访问毫无戒心的用户资产。
本月早些时候,一名PEPE代币持有者在不知情的情况下签署了一个恶意的Permit2交易,损失了139万美元。
编辑:Sebastian Sinclair