Etherscan обновил систему безопасности для предотвращения рассылки неавторизованных сообщений

Etherscan обновил систему безопасности для предотвращения рассылки неавторизованных сообщений

Новости
24.07.2018

В ночь на 24 июля обозреватель блоков в сети Ethereum Etherscan устранил уязвимости, которые ранее позволили хакерам провести манипуляцию сторонним сервисом Disqus API, используемым для публикации комментариев к адресам Ethereum. Об этом пишет CNN.

По информации издания, злоумышленники произвели межсайтовый скриптинг, так называемую XSS-атаку, внедрив в интерфейс JavaScript-код, который показывал пользователям всплывающие сообщения с числом «1337» (отсылка к псевдоязыку Leet, в котором некоторые английские буквы заменяются на символы кодировки ASCII).

Команда Etherscan отключила функции, связанные с этой уязвимостью.

Разработчик Ethereum-интерфейса MyCrypto.com и Etherscam.db Майкл Хэн в своем посте на Reddit заявил, что Etherscan не обслуживал никакого вредоносного кода в момент, когда он был замечен.

«1337» Pop-up Appearing on Etherscan from r/etherscan

«Комментарии Disqus на Etherscan.io были отключены до установки патча, код которого заставил данные API устранить уязвимость к XSS-атаке. Средства пользователей украдены не были», — подчеркнул он.

Хэн добавил, что хотя в этот раз атака проявила себя как надоедливое всплывающее сообщение, подобные внедрения JavaScript-кода нередко являются частью более масштабного теста на проникновение в целях дальнейшей манипуляции сервисом.

Всего служба безопасности зафиксировала четыре попытки атаки.

«Было три попытки внедрить JS-предупреждение «1337». Первая не была вредоносной, еще две пришли от кое-кого, кого мы знаем (скорее всего, в экспериментальных целях). В четвертый раз была попытка внедрить транзакцию web3.js, но она была заблокирована нашим бэкендом», — рассказал Майкл Хэн.

Эксперт также отметил, что появление неавторизованных комментариев под видом официальных сообщений могло привести к широкомасштабному фишингу с целью похищения приватных ключей и другой конфиденциальной информации пользователей.

Напомним, в начале июля криптосообщество забило тревогу насчет возможной спам-атаки в сети Ethereum после внезапного увеличения цены газа и уменьшения числа суточных транзакций с 1,4 млн до 500 тысяч.

Позже основатель платформы Виталик Бутерин подтвердил факт атаки и заявил, что она обошлась хакерам примерно в $15 млн.

Скачивайте приложение ForkLog для Android-смартфонов!