Ứng dụng crypto gặp rủi ro do Ace Drainer tấn công thư viện anim
Vào ngày 30 tháng 10, các trang web giao diện của một số ứng dụng tiền điện tử trực tuyến đã bị xâm phạm sau khi kẻ tấn công tiêm mã độc hại vào một bản cập nhật của một thư viện hoạt hình phổ biến và được sử dụng rộng rãi.
Các ứng dụng DeFi, bao gồm 1inch và TEN Finance, đã hiển thị các thông báo yêu cầu người dùng kết nối ví của họ, thực chất là dành cho “Ace Drainer,” nền tảng bảo mật tiền điện tử Blockaid cho biết trong một bài đăng trên X ngày 30 tháng 10. Xem thêm .
Gal Nagli, trưởng nhóm bảo mật tại công ty an ninh mạng Wiz, giải thích rằng sự cố xâm nhập xuất phát từ một “cuộc tấn công Chain cung ứng quy mô lớn” nhắm vào thư viện Lottie Player — một dịch vụ rất phổ biến cung cấp hình động cho các trang web và ứng dụng, có người dùng như Apple, Spotify và Disney.
Nguồn: Blockaid
Cuộc tấn công này độc đáo vì đã tiêm một cửa sổ bật lên độc hại vào trang web dường như không bị ảnh hưởng. Kẻ tấn công thường xâm nhập vào các tài khoản mạng social có lượng theo dõi cao để lừa người dùng nhấp vào các liên kết lừa đảo trên các trang web giả mạo.
Jawish Hameed, phó chủ tịch kỹ thuật tại LottieFiles — công ty phát hành thư viện hoạt hình — đã viết trên GitHub rằng các phiên bản thư viện bị ảnh hưởng đã bị gỡ bỏ và kêu gọi người dùng cài đặt phiên bản mới nhất. Xem thêm .
Ông nói rằng kẻ tấn công đã xâm nhập vào tài khoản GitHub của một kỹ sư phần mềm cao cấp tại LottieFiles và đẩy ba bản cập nhật độc hại trong ba giờ, đồng thời cho biết đã “loại bỏ quyền truy cập tài khoản bị xâm nhập.” Xem thêm .
Nagli từ Wiz cho biết người dùng đã thấy cửa sổ bật lên kết nối ví tiền điện tử độc hại “trên các trang web phổ biến toàn cầu.”
“Có vẻ như mục đích tấn công ban đầu là nhắm vào các trang web tiền điện tử lớn sử dụng thư viện này,” ông bổ sung.
Nagli cảnh báo rằng các trang web vẫn sử dụng các phiên bản thư viện bị ảnh hưởng “có thể vẫn còn lỗ hổng,” khuyên người dùng nên kiểm tra xem trang web có sử dụng các gói không độc hại hay không, ở phiên bản 2,0,4 hoặc phiên bản mới nhất 2,0,8.
LottieFiles chưa ngay lập tức phản hồi yêu cầu bình luận.
Crypto-Sec: 2 công ty kiểm toán bỏ sót lỗ hổng trị giá 27 triệu USD tại Penpie, lỗi ‘claim rewards’ của Pythia
Tin Tức Bitcoin tổng hợp
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
Biểu đồ ETH/BTC gợi ý: Solana sẵn sàng dẫn đầu?
Doanh thu Riot tăng 65% nhưng kế hoạch hashrate gặp khó khăn
Ethereum lao đao ở mức 2.800 USD: Bò có thể bứt phá?
Solana có thể thách thức Ethereum trong DApp?