В ночь на 24 июля обозреватель блоков в сети Ethereum Etherscan устранил уязвимости, которые ранее позволили хакерам провести манипуляцию сторонним сервисом Disqus API, используемым для публикации комментариев к адресам Ethereum. Об этом пишет CNN.
По информации издания, злоумышленники произвели межсайтовый скриптинг, так называемую XSS-атаку, внедрив в интерфейс JavaScript-код, который показывал пользователям всплывающие сообщения с числом «1337» (отсылка к псевдоязыку Leet, в котором некоторые английские буквы заменяются на символы кодировки ASCII).
Команда Etherscan отключила функции, связанные с этой уязвимостью.
Разработчик Ethereum-интерфейса MyCrypto.com и Etherscam.db Майкл Хэн в своем посте на Reddit заявил, что Etherscan не обслуживал никакого вредоносного кода в момент, когда он был замечен.
«1337» Pop-up Appearing on Etherscan from r/etherscan
«Комментарии Disqus на Etherscan.io были отключены до установки патча, код которого заставил данные API устранить уязвимость к XSS-атаке. Средства пользователей украдены не были», — подчеркнул он.
Хэн добавил, что хотя в этот раз атака проявила себя как надоедливое всплывающее сообщение, подобные внедрения JavaScript-кода нередко являются частью более масштабного теста на проникновение в целях дальнейшей манипуляции сервисом.
Всего служба безопасности зафиксировала четыре попытки атаки.
«Было три попытки внедрить JS-предупреждение «1337». Первая не была вредоносной, еще две пришли от кое-кого, кого мы знаем (скорее всего, в экспериментальных целях). В четвертый раз была попытка внедрить транзакцию web3.js, но она была заблокирована нашим бэкендом», — рассказал Майкл Хэн.
Эксперт также отметил, что появление неавторизованных комментариев под видом официальных сообщений могло привести к широкомасштабному фишингу с целью похищения приватных ключей и другой конфиденциальной информации пользователей.
Напомним, в начале июля криптосообщество забило тревогу насчет возможной спам-атаки в сети Ethereum после внезапного увеличения цены газа и уменьшения числа суточных транзакций с 1,4 млн до 500 тысяч.
Позже основатель платформы Виталик Бутерин подтвердил факт атаки и заявил, что она обошлась хакерам примерно в $15 млн.