Nhà thám hiểm khối Ethereum Etherscan đã cản trở một nỗ lực hack rõ ràng, trong đó kẻ tấn công đã cố gắng sử dụng phần bình luận để phục vụ mã độc.
Người dùng truy cập trang web chính thức của Etherscan hôm thứ Hai đã gặp một thông báo popup đáng ngờ “1337”, cho thấy kẻ tấn công đang cố gắng đưa mã độc vào trang web, có khả năng đang thực hiện lừa đảo.
Khi điều tra vấn đề này, Etherscan xác định rằng cuộc tấn công đã bắt nguồn từ phần bình luận của trang web, cho phép người dùng bình luận về địa chỉ Ethereum và được hỗ trợ bởi dịch vụ lưu trữ nhận xét của bên thứ ba Disqus.
Trang web này đã kịp thời vô hiệu hóa các nhận xét Disqus tóm tắt tại chân trang và theo một thông báo được đăng trên Reddit, hiện đang làm việc trên một bản vá sẽ đóng gói HTML chân trang và ngăn chặn một sự cố tương tự khác xảy ra trong tương lai.
Theo nhà phát triển MyCrypto Michael Hahn, trang web đã không phục vụ bất kỳ mã độc hại nào bởi thời gian các nhà phát triển đã nhận thấy cuộc tấn công khá nhanh.
XSS, trong trường hợp này là tiêm javascript, đã lợi dụng các nhận xét của Disqus mà mọi người sử dụng để bình luận về địa chỉ. Nó không xuất hiện rằng Etherscan đã phục vụ mã độc khi nó được chú ý. Disqus ý kiến về Etherscan.io đã bị vô hiệu hóa cho đến khi một bản vá bảo mật được xuất bản mà sẽ đóng gói / mã hóa lĩnh vực để loại bỏ các lỗ hổng XSS.
Tuy nhiên, có khả năng là hacker đã có thứ gì đó nguy hiểm hơn nhiều so với việc tạo ra những thông điệp pop-up phiền toái. Ví dụ, kẻ tấn công cuối cùng có thể hy vọng sẽ tiêm mã được thiết kế để lừa người dùng tiết lộ khóa riêng của họ hoặc gửi một giao dịch tới một ví tiền do hacker kiểm soát.
Rất may, chương trình đặc biệt này dường như đã không dẫn đến bất kỳ sự cố mất tiền nào.
Đầu tháng này, tin tặc xâm nhập Hola, một tiện ích mở rộng mạng riêng ảo miễn phí (VPN) của Google Chrome và sử dụng quyền truy cập đó để theo dõi hoạt động của người dùng Hola đã truy cập vào dịch vụ ví điện tử trên web MyetherWallet.
Vào tháng 2, tin tặc đã lừa đảo 1 triệu đô la từ những người dùng đang cố gắng đóng góp cho dịch vụ tiền xu ban đầu của Bee Token (ICO) bằng cách mạo danh các nhà cung cấp dịch vụ bán hàng trên phương tiện truyền thông xã hội và trong các cuộc hội thoại qua email.
Nguồn CCN
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.
