一个重大的安全漏洞影响了多个去中心化应用程序(dApps),攻击源于注入广泛使用的JavaScript动画库Lottie Player的恶意代码 ;
袭击 被剥削 Lottie Player的npm包最近更新,特别是在2.0.5至2.0.7版本中,黑客在JSON文件中嵌入了恶意代码,这些文件在网站上显示动画 ;
据报道,至少有一个人在不知不觉中签署了与该漏洞相关的钓鱼交易,损失了10 BTC(72.3万美元) 诈骗嗅探器 ,一个旨在保护用户免受在线欺诈的平台。
Blockaid是一个监控事件的网络安全平台, 已确认 周三,攻击者部署了一个虚假的钱包连接提示,将用户引向drainer恶意软件“Ace drainer”,该软件模仿合法连接来欺骗用户。
据Blockaid称,黑客在Lottie Player的文件中添加了有害代码,将这些动画变成了潜在骗局的切入点。从本质上讲,当用户访问带有这个受损库的网站时,他们会看到虚假的弹出窗口,要求他们连接他们的数字钱包。
然而,这些提示是由黑客控制的,可能会让他们未经授权访问用户的资金。
为了应对这次袭击,LottieFiles的工程副总裁Jawish Hameed, 已确认 周三,受影响的版本从npm中删除,并发布了安全版本(2.0.8) ;
Lottie文件指向 解密 对公众 陈述 当被要求发表评论时,关于事件的细分。
Hameed指出,该漏洞涉及一名高级工程师的GitHub帐户,攻击者在周二的短短三个小时内通过该帐户推送了三个受损的更新 ;
LottieFiles已撤销受影响开发人员帐户的所有访问权限,并采取进一步措施防止未来发生事件。
这种类型的“供应链攻击”——黑客渗透到许多网站所依赖的广泛使用的软件中——可能会产生广泛的后果。在这种情况下,被入侵的Lottie Player版本被自动拉入许多网站,使黑客更容易接触到用户。
去中心化聚合平台1inch是此次攻击的主要目标之一, 放心 社交媒体上的用户表示,只有其webdApp受到影响,钱包应用程序和核心协议仍然安全 ;
随着黑客利用漏洞访问毫无戒心的用户资产,广泛使用的库和工具中的安全漏洞已成为一个关键问题 ;
本月早些时候,一位PEPE代币持有者 迷路的 在不知情的情况下签署恶意Permit2交易后获得139万美元。
编辑人 塞巴斯蒂安·辛克莱
微信里点“发现”,扫一下二维码便可将本篇文章分享至朋友圈
发布者:币下载 转转请注明出处:https://www.paipaipay.cn/343665.html
