10 Bitcoint veszített valaki köszönhetően a Lottie Player csaló kódjainak – belső munka volt?

Kriptomagazin kripto scam
google

Állíts be minket, mint kedvenc forrás a Google-ben.

Az on-chain nyomozók egy nagyszabású, összehangolt támadást fedeztek fel a web3 térben: a mai napon egy jelentős supply chain támadás történt a Lottie Player ellen. A LottieFiles csapata bejelentette, hogy támadók rosszindulatú kódot fecskendeztek be a Lottie Player több verziójába, köztük a 2.05, 2.06 és 2.0.7 verziókba, amelyek a GitHub npm platformján keresztül váltak elérhetővé.

Az engedély nélküli verziók olyan kódot tartalmaztak, amelyek a felhasználók kriptotárcáinak csatlakoztatására szólítottak fel. Számos felhasználó, akik a könyvtárat harmadik féltől származó CDN-eken keresztül használták rögzített verzió nélkül, automatikusan a legújabb, kompromittált kiadást kapta” – írta a LottieFiles csapata.

Milyen felhasználók veszélyeztetettek?

A LottieFiles csapata jelenleg is vizsgálja az incidenst, és gyanítják, hogy egy olyan fejlesztő segítette a támadást, aki rendelkezett a szükséges hozzáférési jogosultságokkal. Az eset óta kiadtak egy új, biztonságos verziót (2.0.8), amely az eredeti Lottie Player 2.0.4-es verziójának másolata.

A további károk megelőzése érdekében a LottieFiles eltávolította a kompromittált csomagokat az npm platformról, és minden hozzáférést, valamint a vonatkozó szolgáltatói fiókokat megszüntette az érintett fejlesztő esetében.

A támadás hatása és a Web3 felhasználókra gyakorolt kockázatok

A Scam Sniffer nevű on-chain elemző platform szerint a Lottie Player supply chain támadás számos nagy decentralizált alkalmazást (DApp), köztük a 1inch (1INCH) és a Movement Network platformjait érintette. A támadók célja a felhasználói pénzeszközök elcsalása volt, ami miatt a 1inch protokoll csapata vállalta, hogy hálózatán keresztül minden érintett felhasználót kártalanít.

A támadásra válaszul a 1inch csapata felszólította az összes érintett felhasználót, hogy vonja vissza az ERC20 okosszerződés-jóváhagyásokat a rosszindulatú címekről a revoke.cash használatával, ezzel elkerülve a további veszteségeket. Az on-chain adatelemzés alapján kiderült, hogy egy web3 felhasználó ma korábban 10 Bitcoint, mintegy 720 000 dollár értékben veszített el a Lottie Player elleni supply chain támadás következtében.

https://twitter.com/realScamSniffer/status/1851781579141714376?s=20

A támadás kiemeli a digitális ökoszisztémák biztonságának fontosságát, különösen a decentralizált alkalmazások és a web3 térben. Az esemény rávilágít arra, hogy a felhasználóknak és a fejlesztőknek fokozott figyelmet kell fordítaniuk a kódforrások és a fejlesztői jogosultságok védelmére, valamint arra, hogy szükség esetén megfelelő ellenőrzéseket vezessenek be.

Tájékoztatás:

A kriptomagazin.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg befektetési elemzést vagy befektetési tanácsadást. Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!

A cikkekben megjelenő esetleges hibákért, valamint a téves információkból eredő anyagi károkért a kriptomagazin.hu felelősséget nem vállal.

Ezt olvastad már?