/ 安全問題

駭客試圖利用評論功能攻擊Etherscan 所幸及時處理

據CCN報導,以太坊區塊鏈瀏覽網站Etherscan阻止了一項駭客攻擊,該攻擊試圖利用評論功能來部署惡意程式碼。

本週一,嘗試瀏覽Etherscan的使用者遇到了一則可疑的Javascript 彈出訊息「1337」。這顯示駭客試圖將惡意程式碼加入到網站中,以建立以太坊釣魚網站。

Etherscan公司在對此事件進行調查後發現,該攻擊源自網站的評論功能,該功能可以讓使用者對以太坊位址進行評論,由合作廠商評論託管服務機構Disqus提供。

etherscan-hack-attempt-1337-disqus

根據Reddit上的一份聲明,Etherscan目前正在開發一個補丁,將頁腳HTML進行封裝,防止未來發生類似事件。根據MyCrypto開發者Michael Hahn的說法,在開發者注意到攻擊的時候,網站還未給出任何惡意程式碼。

駭客使用了跨網站指令碼攻擊(XSS),利用了Disqus評論區插入javascript代碼。當這件事被注意到時,Etherscan的Disqus評論區尚未提供惡意程式碼。Etherscan.io 隨即被禁用,直到發佈了一個安全補丁之後才啟用。補丁將對欄位進行編碼,以消除對XSS的攻擊。

但駭客很有可能已經在構思比彈出訊息更危險的攻擊方法。例如,攻擊者可能會加入一些代碼,騙使用者提供私鑰,或者將交易發送到一個由駭客控制的錢包。

值得慶幸的是,本次駭客攻擊並沒有造成資產損失。但最近發生的其他攻擊事件並沒有像這件事一樣輕鬆解決。

本月初,駭客攻擊了Google Chrome瀏覽器的擴充應用程式——Free VPN Hola,監控Hola使用者的活動,試圖竊取使用者的以太坊網路錢包MyEtherWallet。

今年2月,駭客們透過在社群媒體和電子郵件對話中假冒代幣銷售人員的方式,從部分想參與Bee代幣ICO的用戶那裡獲得了大約100萬美元的資金。

Harry

Harry

畢業於成功大學,目前全力關注台灣幣圈與區塊鏈發展,分享與撰寫相關相關資訊。 與我們聯絡:coineast.com@gmail.com

Read More