Cuộc tấn công mạng ảnh hưởng đến dApps qua lỗ hổng trong Lottie Player

Cuộc tấn công mạng ảnh hưởng đến dApps qua lỗ hổng trong Lottie Player

Một lỗ hổng bảo mật nghiêm trọng đã tấn công nhiều ứng dụng phi tập trung, bắt nguồn từ mã độc được cấy vào thư viện hoạt ảnh JavaScript phổ biến, Lottie Player.

Nhiều ứng dụng phi tập trung (dApps) đã chịu ảnh hưởng từ một lỗ hổng bảo mật lớn, với sự tấn công xuất phát từ mã độc được nhúng vào Lottie Player, một thư viện hoạt ảnh JavaScript được sử dụng rộng rãi. Các phiên bản từ 2.0.5 đến 2.0.7 của Lottie Player đã bị lợi dụng khi các tin tặc chèn mã độc vào các tệp JSON hiển thị hoạt ảnh trên các trang web.

Một cá nhân đã mất 10 BTC (khoảng 723.000 USD) sau khi vô tình ký giao dịch lừa đảo liên quan đến vụ vi phạm này, theo thông tin từ Scam Sniffer, một nền tảng bảo vệ người dùng khỏi gian lận trực tuyến. Blockaid, một nền tảng an ninh mạng giám sát vụ việc, đã xác nhận rằng tin tặc sử dụng một cửa sổ kết nối ví giả để dẫn người dùng vào phần mềm độc hại "Ace Drainer".

Mã độc này giả mạo kết nối hợp pháp nhằm đánh lừa người dùng, biến các hoạt ảnh của Lottie Player thành cửa ngõ cho các trò lừa đảo tiềm năng. Lợi dung lỗ hổng, trang web sử dụng thư viện bị xâm phạm đã hiển thị thông báo giả yêu cầu người dùng kết nối ví kỹ thuật số của họ. Những thông báo giả mạo này do tin tặc kiểm soát và có thể cấp quyền truy cập trái phép vào tài sản của người dùng.

Để đáp trả, ông Jawish Hameed từ LottieFiles thông báo rằng các phiên bản bị ảnh hưởng đã được gỡ khỏi npm và một phiên bản an toàn hơn là 2.0.8 đã được phát hành. Ông cũng cho biết, vụ tấn công liên quan đến tài khoản GitHub của một kỹ sư cấp cao, qua đó tin tặc đã đưa ba bản cập nhật bị xâm phạm chỉ trong ba giờ.

Sau vụ việc, LottieFiles đã thu hồi mọi quyền truy cập từ tài khoản nhà phát triển bị xâm phạm và thực hiện thêm các biện pháp ngăn ngừa các sự cố tiềm tàng trong tương lai. Loại tấn công chuỗi cung ứng này - khi tin tặc thâm nhập vào phần mềm được sử dụng rộng rãi mà nhiều trang web dựa vào - có thể gây ra những hậu quả rộng lớn.

Điển hình là nền tảng tổng hợp phi tập trung 1inch, một trong những mục tiêu chính của cuộc tấn công, đã trấn an người dùng trên mạng xã hội rằng chỉ dApp web của mình bị ảnh hưởng, trong khi ứng dụng ví và giao thức cốt lõi vẫn an toàn. Sự thâm nhập bảo mật vào các thư viện và công cụ phổ biến đang trở thành vấn đề cấp bách khi tin tặc khai thác lỗ hổng để truy cập vào tài sản của người dùng không ngờ tới.

Đầu tháng này, một chủ sở hữu token PEPE cũng đã mất 1,39 triệu USD sau khi vô tình ký một giao dịch Permit2 độc hại.

Read more