Lottie Player 遭遇供应链攻击，从Avalanche钱包中窃取 10 个包装好的 BTC

Lottie Player 遭到供应链攻击，影响了一个装有 10 个Bitcoin(BTC) 的钱包。 Wordpress 工具已被滥用，向 Web3 用户发送恶意链接，从而有效地耗尽了钱包。

Lottie Player（Wordpress 动画库）已被用作 Web3 用户的攻击媒介。通过恶意链接，至少一个钱包已被盗走 10 个Bitcoin(BTC)。

Lottie Player 攻击影响了 1inch 和 Mover 等广泛使用的项目。 1inch 攻击可能特别有害，因为 DEX 交易服务是Ethereum上使用最广泛的服务之一。

Blockaid 还报告称，它一直在通过其网站传播恶意钱包连接。 Bubble是另一个受恶意弹出窗口影响的前端网站，也是最先被报告的网站之一。 Bubble 也是构建第三方应用程序的来源，这些应用程序可能会在旧版本处于活动状态时受到影响。

Blockaid 的研究人员已确定Ace Drainer 是最有可能的攻击源。 Lottie Player 的恶意版本已被删除，但在此之前，它传播了用于与广泛使用的 Web3 钱包进行签名的虚假链接。该攻击已持续至少 12 小时，导致多个dent的攻击钱包中的余额增加。

当钱包被耗尽 10 BTC 时，该攻击首次被注意到，从而导致了虚假链接的来源。风险在于快速签署所有请求，包括永久访问钱包。这使得攻击者甚至可以耗尽Avalanche C 链地址，窃取某种形式的包装 BTC 。攻击本身并不要求自我托管的Bitcoin钱包，而是依赖于 Web3 连接的需求。

⚠️ 3 小时前，受害者因签署网络钓鱼交易而损失 10 BTC（723,436 美元）。

这起盗窃事件可能与今天早些时候对 Lottie Player 的供应链攻击有关。 https://t.co/Puq5zUnKO9 pic.twitter.com/STYgRGgyK9

— 诈骗嗅探器 | Web3 反诈骗 (@realScamSniffer) 2024 年 10 月 31 日