以太坊 區塊瀏覽器 Etherscan 阻止了一項明顯的黑客攻擊,該攻擊試圖利用評論部分來部署惡意代碼。

bank-of-montreal-simplii-hack-cyberattack-760x400_副本

本週一,試圖訪問 Etherscan 的用戶遇到了一條可疑的 Javascript 彈出消息“1337”。這表明攻擊者試圖將惡意代碼加入網站之中,試圖建立 以太坊 釣魚網站。

Etherscan 公司在對此事進行調查後發現,該攻擊源自網站的評論部分,該部分允許用戶對以太坊地址進行評論,並由第三方評論託管服務機構 Disqus 提供。

etherscan-hack-attempt-1337-disqus

Etherscan 迅速從網站頁腳處關閉 Disqus 評論功能。

根據 Reddit 上的一份聲明,Etherscan 目前正在開發一個補丁,將頁腳 HTML 封裝起來,防止未來發生類似事件。

根據 MyCrypto 開發者 Michael Hahn 的說法,在開發者注意到攻擊的時候,網站似乎並沒有給出任何惡意代碼。

XSS,在本次事件中是利用了 Disqus 評論插入 javascript。當人們注意到它的時候,它似乎並沒有在 Etherscan 的 Disqus 評論區發佈惡意代碼。Etherscan.io 隨即被禁用,直到發佈了一個安全補丁之後才啓用。該補丁將對字段進行編碼,以消除對 XSS 的攻擊。

然而,黑客很有可能已經在構思比彈出消息更危險的攻擊手段。例如,攻擊者可能會加入一些代碼,欺騙用戶暴露私鑰,或者將交易發送到一個黑客控制的錢包。

值得慶幸的是,本次黑客攻擊似乎並沒有導致資金的損失。

然而,最近發生的其他事件並沒有像這件事一樣解決得乾淨利落。

本月早些時候,黑客攻擊了 Google Chrome 瀏覽器的擴展應用——免費 VPN Hola,監控 Hola 用戶的活動,這些用戶均使用了以太坊網絡錢包服務 MyEtherWallet。

今年 2 月,黑客們通過在社交媒體和電子郵件對話中冒充代幣銷售人員的方式,從部分試圖參與 Bee 代幣 ICO 的用戶那裏獲得了大約 100 萬美元的資金。

發文時比特幣價格 ¥54460.99

原文:https://www.ccn.com/someone-tried-to-hack-etherscan-using-the-comment-section/
作者:Josiah Wilmoth
編譯:Joie
稿源(譯):巴比特資訊(http://www.8btc.com/someone-tried-to-hack-etherscan-using-the-comment-section) 版權聲明:
by
nc"
sa 作者保留權利。文章爲作者獨立觀點,不代表巴比特立場。

來源鏈接:www.8btc.com