动画工具乐透玩家遭供应链攻击，导致 72.3 万美元比特币被盗

至少有一人在不知情的情况下签署了与漏洞有关的钓鱼交易，损失了 10 BTC。

一个重大安全漏洞影响了多个去中心化应用程序（dApps），攻击源于注入到广泛使用的 JavaScript 动画库 Lottie Player 中的恶意代码。

这次攻击 利用了 Lottie Player 的 npm 软件包最近的更新，特别是 2.0.5 至 2.0.7 版本，黑客将恶意代码嵌入了在网站上显示动画的 JSON 文件中。

据 旨在保护用户免受网络欺诈的平台Scam Sniffer称，至少有一人在不知情的情况下签署了与漏洞相关的钓鱼交易，损失了 10 BTC（约合 72.3 万美元）。

监测该事件的网络安全平台Blockaid 周三证实 ，攻击者部署了一个虚假的钱包连接提示，引导用户进入恶意软件 "Ace Drainer"，该软件模仿合法连接欺骗用户。

据 Blockaid 称，黑客在 Lottie Player 的文件中添加了有害代码，将这些动画变成了潜在诈骗的切入点。从本质上讲，当用户访问带有这个被入侵库的网站时，他们会看到假冒的弹出窗口，要求他们连接数字钱包。

然而，这些提示是由黑客控制的，他们可以在未经授权的情况下获取用户的资金。

针对此次攻击，LottieFiles 工程副总裁 Jawish Hameed 周三 证实 ，受影响的版本已从 npm 中删除，并发布了一个安全版本（2.0.8）。

当被要求发表评论时，LottieFiles 向 Decrypt指出 了其 关于事件细分的 公开 声明 。

Hameed 指出，该漏洞涉及一名高级工程师的 GitHub 账户，攻击者在周二短短三个小时内通过该账户推送了三个被入侵的更新。

此后，LottieFiles 取消了受影响开发者账户的所有访问权限，并采取进一步措施防止未来事件的发生。

这种 "供应链攻击"--黑客侵入许多网站依赖的广泛使用的软件--会造成广泛的后果。在这种情况下，被入侵的 Lottie Player 版本会被自动拉入许多网站，使黑客更容易接触到用户。

去中心化聚合平台 1inch 是此次攻击的主要目标之一，它 在社交媒体上向用户 保证 ，只有其网络 dApp 受到影响，钱包应用程序和核心协议仍然安全。

随着黑客利用漏洞访问毫无戒心的用户资产，广泛使用的库和工具的安全漏洞已成为一个严重问题。

本月早些时候，一名 PEPE 代币持有者 在不知情的情况下签署了恶意 Permit2 交易，损失了 139 万美元。

编辑：Sebastian Sinclair

More News

• All
• CT
• Coindesk
• Decrypt
• DLNews