Как опытный исследователь, ставший свидетелем многочисленных инцидентов кибербезопасности в криптопространстве, я должен сказать, что эта атака на цепочку поставок Lottie Player является ярким напоминанием о вездесущих угрозах, скрывающихся в нашем цифровом пространстве. Влияние атаки на основные децентрализованные приложения, такие как 1inch и Movement network, подчеркивает взаимосвязанность нашей экосистемы web3 и потенциальные каскадные эффекты одной уязвимости.
Сегодня выяснилось, что крупномасштабное скоординированное нападение было нацелено на сферу web3, в частности на Lottie Player. По данным команды LottieFiles, злоумышленники вставляли ошибки в различные версии Lottie Player, такие как версии 2.05, 2.06 и 2.0.7. Эти скомпрометированные версии впоследствии были загружены и распространены через платформу npm GitHub.
Некоторые выпуски без авторизации включали код, запрашивающий доступ к криптовалютным кошелькам пользователей. Удивительно, но многие пользователи, которые использовали библиотеку через сторонние сети доставки контента (CDN) без конкретной версии, получили поврежденную версию, поскольку она считалась самым последним обновлением», — отметила команда LottieFiles.
Немедленные смягчающие меры
Команда LottieFiles активно расследует недавний инцидент, поскольку они подозревают, что спровоцировать атаку мог разработчик, обладающий достаточными разрешениями. Примечательно, что они выпустили новую защищенную версию, обозначенную как 2.0.8, которая по сути является обновленной копией оригинальной версии Lottie Player 2.0.4.
Описание: В течение примерно двух часов продолжалась масштабная атака на широко используемую библиотеку JavaScript для лотерейных игроков, в результате которой непритязательные пользователи подключались к кошелькам Web3 злоумышленников на законных сайтах. Вот что нам известно, потенциальные действия и методы обнаружения.
— Нагли (@galnagli), 31 октября 2024 г.
Прежде всего, команда LottieFiles удалила затронутые версии своих пакетов из репозитория npm, чтобы предотвратить какой-либо дополнительный вред.
Кроме того, команда LottieFiles приняла меры, отключив все доступы и связанные учетные записи, связанные с пострадавшим разработчиком.
Влияние атаки на цепочку поставок лотерейных игроков
Сегодня компания Lottie Player подверглась кибератаке на свою цепочку поставок, которая потенциально повлияла на такие проекты, как 1inch и Movement.
Для обеспечения вашей безопасности наша система мгновенно блокирует скомпрометированные домены.
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 31 октября 2024 г.
Согласно результатам анализа цепочки, проведенного Scam Sniffer, атака на цепочку поставок, нацеленная на Lottier Player, затронула значительные децентрализованные приложения (Dapps), включая 1inch и сеть Movement. Целью атаки было опустошение средств пользователей, но протокол 1inch пообещал выплатить компенсацию всем пострадавшим пользователям через свою систему.
В настоящее время команда 1-inch рекомендует пользователям, которых это затронуло, отменить одобрение контрактов ERC20 с подозрительных учетных записей через revoke.cash в качестве меры предосторожности против любого дополнительного ущерба. К сожалению, сегодня произошел досадный инцидент, когда пользователь потерял около 10 биткойнов, что эквивалентно более чем 720 000 долларов, из-за атаки на цепочку поставок Lottie Player.
Смотрите также
- Прогноз рынка криптовалют: почему 2025 год может начаться хорошо, но закончиться проблемами
- Почему рынок криптовалют сегодня рушится: ключевые факторы падения
- Крах крипторынка (8 января 2025 г.): цена биткойнов упала до 96 тысяч долларов | Миллионы исчезли с рынка!
- Отчет о криптопреступлениях за 2024 год: ограбления, вредоносное ПО и новые правила в Северной Корее
- 10 лучших альткойнов стоимостью менее 1 доллара, в которые можно инвестировать в 2025 году
- Перспективы рынка криптовалюты HIVE: прогнозы цены Hive
- MAGA Memecoin взлетает на фоне слухов об инаугурации Дональда Трампа и интереса китов
- MARA кредитует 16% резервов биткойнов и повышает хешрейт
- В оттенках серого добавлены новые альткойны для фондов искусственного интеллекта, DeFi и смарт-контрактов
- Прогноз цен WINkLink на 2025, 2026–2030 годы: является ли WIN хорошей инвестицией?
2024-10-31 11:52