以太坊區塊瀏覽器Etherscan招攻擊,黑客手段層出不窮
本周一,試圖訪問Etherscan的用戶遇到了一條可疑的Javascript 彈出消息「1337」。這表明攻擊者試圖將惡意代碼加入網站之中,試圖建立以太坊釣魚網站。
Etherscan公司在對此事進行調查後發現,該攻擊源自網站的評論部分,該部分允許用戶對以太坊地址進行評論,並由第三方評論託管服務機構Disqus提供。
Etherscan 迅速從網站頁腳處關閉Disqus評論功能。
根據Reddit上的一份聲明,Etherscan目前正在開發一個補丁,將頁腳HTML封裝起來,防止未來發生類似事件。
根據MyCrypto開發者Michael Hahn的說法,在開發者注意到攻擊的時候,網站似乎並沒有給出任何惡意代碼。
XSS,在本次事件中是利用了Disqus評論插入javascript。當人們注意到它的時候,它似乎並沒有在Etherscan的Disqus評論區發布惡意代碼。Etherscan.io 隨即被禁用,直到發布了一個安全補丁之後才啟用。該補丁將對欄位進行編碼,以消除對XSS的攻擊。
然而,黑客很有可能已經在構思比彈出消息更危險的攻擊手段。例如,攻擊者可能會加入一些代碼,欺騙用戶暴露私鑰,或者將交易發送到一個黑客控制的錢包。
值得慶幸的是,本次黑客攻擊似乎並沒有導致資金的損失。
然而,最近發生的其他事件並沒有像這件事一樣解決得乾淨利落。
本月早些時候,黑客攻擊了Google Chrome瀏覽器的擴展應用——免費VPN Hola,監控Hola用戶的活動,這些用戶均使用了以太坊網路錢包服務MyEtherWallet。
今年2月,黑客們通過在社交媒體和電子郵件對話中冒充代幣銷售人員的方式,從部分試圖參與Bee代幣ICO的用戶那裡獲得了大約100萬美元的資金。
※部分平台打著區塊鏈的幌子,從事違規違法行為
※烏鎮·Kcash祝雪嬌:錢包不會幹掉交易所,而是互補
TAG:巴比特資訊 |