Az on-chain nyomozók egy nagyszabású, összehangolt támadást fedeztek fel a web3 térben: a mai napon egy jelentős supply chain támadás történt a Lottie Player ellen. A LottieFiles csapata bejelentette, hogy támadók rosszindulatú kódot fecskendeztek be a Lottie Player több verziójába, köztük a 2.05, 2.06 és 2.0.7 verziókba, amelyek a GitHub npm platformján keresztül váltak elérhetővé.
„Az engedély nélküli verziók olyan kódot tartalmaztak, amelyek a felhasználók kriptotárcáinak csatlakoztatására szólítottak fel. Számos felhasználó, akik a könyvtárat harmadik féltől származó CDN-eken keresztül használták rögzített verzió nélkül, automatikusan a legújabb, kompromittált kiadást kapta” – írta a LottieFiles csapata.
Incident Response for Recently Infected Lottie-Player versions 2.05, 2.06, 2.0.7
Comm Date/Time: Oct 31st, 2024 04:00 AM UTC
Incident: On October 30th ~6:20 PM UTC – LottieFiles were notified that our popular open source npm package for the web player @lottiefiles/lottie-player…
— LottieFiles (@LottieFiles) October 31, 2024
Milyen felhasználók veszélyeztetettek?
A LottieFiles csapata jelenleg is vizsgálja az incidenst, és gyanítják, hogy egy olyan fejlesztő segítette a támadást, aki rendelkezett a szükséges hozzáférési jogosultságokkal. Az eset óta kiadtak egy új, biztonságos verziót (2.0.8), amely az eredeti Lottie Player 2.0.4-es verziójának másolata.
A további károk megelőzése érdekében a LottieFiles eltávolította a kompromittált csomagokat az npm platformról, és minden hozzáférést, valamint a vonatkozó szolgáltatói fiókokat megszüntette az érintett fejlesztő esetében.
TLDR: Massive Supply Chain attack had been happening on the highly popular JS Library lottie-player since ~2 hours ago that populates attackers Web3 wallet connection pop-up on legitimate websites.
I'll write here what we know, what can be done and how to detect it in the wild.… pic.twitter.com/aX4DIj7Olp
— Nagli (@galnagli) October 31, 2024
A támadás hatása és a Web3 felhasználókra gyakorolt kockázatok
A Scam Sniffer nevű on-chain elemző platform szerint a Lottie Player supply chain támadás számos nagy decentralizált alkalmazást (DApp), köztük a 1inch (1INCH) és a Movement Network platformjait érintette. A támadók célja a felhasználói pénzeszközök elcsalása volt, ami miatt a 1inch protokoll csapata vállalta, hogy hálózatán keresztül minden érintett felhasználót kártalanít.
A támadásra válaszul a 1inch csapata felszólította az összes érintett felhasználót, hogy vonja vissza az ERC20 okosszerződés-jóváhagyásokat a rosszindulatú címekről a revoke.cash használatával, ezzel elkerülve a további veszteségeket. Az on-chain adatelemzés alapján kiderült, hogy egy web3 felhasználó ma korábban 10 Bitcoint, mintegy 720 000 dollár értékben veszített el a Lottie Player elleni supply chain támadás következtében.
https://twitter.com/realScamSniffer/status/1851781579141714376?s=20
A támadás kiemeli a digitális ökoszisztémák biztonságának fontosságát, különösen a decentralizált alkalmazások és a web3 térben. Az esemény rávilágít arra, hogy a felhasználóknak és a fejlesztőknek fokozott figyelmet kell fordítaniuk a kódforrások és a fejlesztői jogosultságok védelmére, valamint arra, hogy szükség esetén megfelelő ellenőrzéseket vezessenek be.
A kriptomagazin.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást. Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptomagazin.hu felelősséget nem vállal.