Etherscan обновил систему безопасности для предотвращения рассылки неавторизованных сообщений

hacker
hacker

В ночь на 24 июля обозреватель блоков в сети Ethereum Etherscan устранил уязвимости, которые ранее позволили хакерам провести манипуляцию сторонним сервисом Disqus API, используемым для публикации комментариев к адресам Ethereum. Об этом пишет CNN.

По информации издания, злоумышленники произвели межсайтовый скриптинг, так называемую XSS-атаку, внедрив в интерфейс JavaScript-код, который показывал пользователям всплывающие сообщения с числом «1337» (отсылка к псевдоязыку Leet, в котором некоторые английские буквы заменяются на символы кодировки ASCII).

Etherscan обновил систему безопасности для предотвращения рассылки неавторизованных сообщений

Команда Etherscan отключила функции, связанные с этой уязвимостью.

Разработчик Ethereum-интерфейса MyCrypto.com и Etherscam.db Майкл Хэн в своем посте на Reddit заявил, что Etherscan не обслуживал никакого вредоносного кода в момент, когда он был замечен.

«1337» Pop-up Appearing on Etherscan from r/etherscan

«Комментарии Disqus на Etherscan.io были отключены до установки патча, код которого заставил данные API устранить уязвимость к XSS-атаке. Средства пользователей украдены не были», — подчеркнул он.

Хэн добавил, что хотя в этот раз атака проявила себя как надоедливое всплывающее сообщение, подобные внедрения JavaScript-кода нередко являются частью более масштабного теста на проникновение в целях дальнейшей манипуляции сервисом.

Всего служба безопасности зафиксировала четыре попытки атаки.

«Было три попытки внедрить JS-предупреждение «1337». Первая не была вредоносной, еще две пришли от кое-кого, кого мы знаем (скорее всего, в экспериментальных целях). В четвертый раз была попытка внедрить транзакцию web3.js, но она была заблокирована нашим бэкендом», — рассказал Майкл Хэн.

Эксперт также отметил, что появление неавторизованных комментариев под видом официальных сообщений могло привести к широкомасштабному фишингу с целью похищения приватных ключей и другой конфиденциальной информации пользователей.

Напомним, в начале июля криптосообщество забило тревогу насчет возможной спам-атаки в сети Ethereum после внезапного увеличения цены газа и уменьшения числа суточных транзакций с 1,4 млн до 500 тысяч.

Позже основатель платформы Виталик Бутерин подтвердил факт атаки и заявил, что она обошлась хакерам примерно в $15 млн.

Скачивайте приложение ForkLog для Android-смартфонов!

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK