一个重大的安全漏洞影响了多个去中心化应用程序(dApps),攻击源于注入广泛使用的JavaScript动画库Lottie Player的恶意代码

袭击被剥削Lottie Player的npm包最近更新,特别是在2.0.5至2.0.7版本中,黑客在JSON文件中嵌入了恶意代码,这些文件在网站上显示动画

据报道,至少有一个人在不知不觉中签署了与该漏洞相关的钓鱼交易,损失了10 BTC(72.3万美元)诈骗嗅探器,一个旨在保护用户免受在线欺诈的平台。

Blockaid是一个监控事件的网络安全平台,已确认周三,攻击者部署了一个虚假的钱包连接提示,将用户引向drainer恶意软件“Ace drainer”,该软件模仿合法连接来欺骗用户。

据Blockaid称,黑客在Lottie Player的文件中添加了有害代码,将这些动画变成了潜在骗局的切入点。从本质上讲,当用户访问带有这个受损库的网站时,他们会看到虚假的弹出窗口,要求他们连接他们的数字钱包。

然而,这些提示是由黑客控制的,可能会让他们未经授权访问用户的资金。

为了应对这次袭击,LottieFiles的工程副总裁Jawish Hameed,已确认周三,受影响的版本从npm中删除,并发布了安全版本(2.0.8)

Lottie文件指向解密对公众陈述当被要求发表评论时,关于事件的细分。

Hameed指出,该漏洞涉及一名高级工程师的GitHub帐户,攻击者在周二的短短三个小时内通过该帐户推送了三个受损的更新

LottieFiles已撤销受影响开发人员帐户的所有访问权限,并采取进一步措施防止未来发生事件。

这种类型的“供应链攻击”——黑客渗透到许多网站所依赖的广泛使用的软件中——可能会产生广泛的后果。在这种情况下,被入侵的Lottie Player版本被自动拉入许多网站,使黑客更容易接触到用户。

去中心化聚合平台1inch是此次攻击的主要目标之一,放心社交媒体上的用户表示,只有其webdApp受到影响,钱包应用程序和核心协议仍然安全

随着黑客利用漏洞访问毫无戒心的用户资产,广泛使用的库和工具中的安全漏洞已成为一个关键问题

本月早些时候,一位PEPE代币持有者迷路的在不知情的情况下签署恶意Permit2交易后获得139万美元。

编辑人塞巴斯蒂安·辛克莱