以太坊區塊瀏覽器Etherscan招攻擊，黑客手段層出不窮

本周一，試圖訪問Etherscan的用戶遇到了一條可疑的Javascript 彈出消息「1337」。這表明攻擊者試圖將惡意代碼加入網站之中，試圖建立以太坊釣魚網站。

Etherscan公司在對此事進行調查後發現，該攻擊源自網站的評論部分，該部分允許用戶對以太坊地址進行評論，並由第三方評論託管服務機構Disqus提供。

Etherscan 迅速從網站頁腳處關閉Disqus評論功能。

根據Reddit上的一份聲明，Etherscan目前正在開發一個補丁，將頁腳HTML封裝起來，防止未來發生類似事件。

根據MyCrypto開發者Michael Hahn的說法，在開發者注意到攻擊的時候，網站似乎並沒有給出任何惡意代碼。

XSS，在本次事件中是利用了Disqus評論插入javascript。當人們注意到它的時候，它似乎並沒有在Etherscan的Disqus評論區發布惡意代碼。Etherscan.io 隨即被禁用，直到發布了一個安全補丁之後才啟用。該補丁將對欄位進行編碼，以消除對XSS的攻擊。

然而，黑客很有可能已經在構思比彈出消息更危險的攻擊手段。例如，攻擊者可能會加入一些代碼，欺騙用戶暴露私鑰，或者將交易發送到一個黑客控制的錢包。

值得慶幸的是，本次黑客攻擊似乎並沒有導致資金的損失。

然而，最近發生的其他事件並沒有像這件事一樣解決得乾淨利落。

本月早些時候，黑客攻擊了Google Chrome瀏覽器的擴展應用——免費VPN Hola，監控Hola用戶的活動，這些用戶均使用了以太坊網路錢包服務MyEtherWallet。

今年2月，黑客們通過在社交媒體和電子郵件對話中冒充代幣銷售人員的方式，從部分試圖參與Bee代幣ICO的用戶那裡獲得了大約100萬美元的資金。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！