BitcoinTalk.com
    • Зарегистрироваться
    • Войти
    • Поиск
    • Категории
    • Непрочитанные
    • Последние
    • Метки
    • Популярные
    • Пользователи
    • Группы
    • Админка

    Etherscan залатал уязвимость, позволяющую хакерам отправлять неавторизованные сообщения

    Интересные статьи
    1
    1
    622
    Загружаем больше сообщений
    • Сначала старые
    • Сначала новые
    • По количеству голосов
    Ответить
    • Ответить, создав новую тему
    Авторизуйтесь, чтобы ответить
    Эта тема была удалена. Только пользователи с правом управления темами могут её видеть.
    • casio
      casio отредактировано

      Самый популярный обозреватель блокчейна Ethereum Etherscan этой ночью устранил несколько уязвимостей в своей системе безопасности после того, как хакеры провели успешную манипуляцию Disqus API – сторонним сервисом, который Etherscan использует для публикации комментариев к адресам Ethereum. Благодаря этому злоумышленники смогли выполнить межсайтовый скриптинг (его также называют XSS-атакой), т.е. внедрить в интерфейс код JavaScript, который показывал пользователям нежелательные сообщения. Об этом пишет TheNextWeb.

      Сообщение содержало лишь «1337» – отсылку к псевдоязыку, который был популярен на заре интернета; в нем некоторые английские буквы заменяются на символы кодировки ASCII.

      Хотя создавалось впечатление, что эти сообщения были присланы от самого Etherscan, разработчики утверждали, что они к этому отношения не имели. Команда Etherscan отключила функции, связанные с этой уязвимостью, пока сама латала соответствующие бреши в своей системе безопасности.

      Майкл Хэн, разработчик популярного Ethereum-интерфейса MyCrypto.com и Etherscam.db, прокомментировал ситуацию в посте на Reddit: «Эта XSS-атака (в данном случае – внедрение кода JavaScript) манипулировала API, который Etherscan использует для считывания последних комментариев об адресах с CMS Disqus. Похоже, Etherscan не обслуживал никакого вредоносного кода в тот момент, когда он был замечен. Комментарии Disqus на Etherscan.io были отключены до установки патча, код которого заставил данные API устранить уязвимость к XSS-атаке. Средства пользователей украдены не были».

      Способность показывать неавторизованные комментарии под маскировкой официальных сообщений могла привести к широкомасштабному фишингу. У ничего не подозревающих пользователей – не понимающих, что они общаются не с Etherscan – могли обманным путем выудить их приватные ключи и другую конфиденциальную информацию. К счастью, в данном случае все закончилось лишь надоедливым всплывающим сообщением.

      И хотя эта атака, по всей видимости, никакого вреда не принесла, подобные внедрения JavaScript-кода часто являются частью более масштабного теста на проникновение в целях дальнейшей манипуляции сервисом.

      Анализ атаки, опубликованный на Reddit, подтверждает эту догадку – всего было 4 попытки, и во время последней злоумышленники пытались «внедрить» транзакцию web3.js в сервис Etherscan.

      «Было три попытки внедрить JS-предупреждение "1337". Первая не была вредоносной, еще две пришли от кое-кого, кого мы знаем (скорее всего, в экспериментальных целях). В четвертый раз была попытка внедрить транзакцию web3.js, но она была заблокирована нашим бэкэндом».

      Web3.js – это JavaScript-библиотека Ethereum. Именно она позволяет расширениям браузера вроде MetaMask обрабатывать криптовалютные транзакции через блокчейн Ethereum.

      https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
      https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен

      1 ответ Последний ответ Ответить Цитировать 0
      • Первое сообщение
        Последнее сообщение