他周二报道说，这段恶意代码上周末被添加到StatCounter的站点跟踪脚本中。

 

恶意代码劫持任何通过该门的Web界面进行的比特币交易。io cryptocurrency交换。它不会触发，除非页面链接包含“myaccount/withdraw/BTC”路径。

 

恶意代码可以秘密地用攻击者控制的比特币地址替换用户在页面上输入的任何比特币地址。安全专家认为这个漏洞很严重，因为很多网站都加载了StatCounter的跟踪脚本。

 

Faou告诉TechNewsWorld:“根据StatCounter的数据，有超过200万个网站在使用他们的分析平台，所以这次安全漏洞真的很重要。”“通过修改所有这200万个网站中注入的分析脚本，攻击者能够在这些网站的所有访问者的浏览器中执行JavaScript代码。”

 

目标有限，潜力无限

 

BlockSafe Technologies的首席执行官乔治•沃勒(George Waller)指出，此次攻击之所以意义重大，还因为它表明，黑客对他们用来窃取加密货币的工具和方法越来越老练。

 

虽然这种形式的劫持并不是一种新现象，但插入代码的方式却是。

 

加密货币市场及其新兴资产类别的增长，促使黑客加大投资，设计出更强大的盗窃企图和方法。所使用的恶意软件并不是什么新鲜事，但传递它的方法却是。

 

“自2017年初以来，至少14家加密货币交易所遭受了8.82亿美元的资金被盗。沃勒告诉《科技新闻世界》(TechNewsWorld)。

 

在这种情况下，攻击者选择以Gate的用户为目标。Eset的Faoul表示，io是一家重要的加密货币交易所。当用户提交比特币提现时，攻击者会实时用他们控制的地址替换目标地址。

 

攻击者能够攻击Gate。通过向第三方组织妥协，这种策略被称为“供应链攻击”。法乌尔指出，他们本可以针对更多的网站。

 

“我们发现了几个使用StatCounter的政府网站。因此，这意味着攻击者可以针对很多有趣的人。”

 

告诉财务影响

 

门。在攻击期间发起比特币交易的io客户面临的风险最大。据隐私顾问管理成员Paige Boshell称，恶意软件通过改变比特币转账的目的地地址，合法地劫持了网站用户授权的交易。

 

作为一种规则，第三方脚本(如StatCounter)的数量应该被站长控制在最少，Bourns SMA6J-Q  型符合AEC-Q101标准  ，非常适合华宇总代理在某些恶劣环境中使用并需要高可靠性的各种通信，无论是华宇登录工业或是消费电子应用。因为每个脚本都代表一个潜在的攻击向量。对于交易所来说，提现的额外确认在这种情况下是有益的，因为这种利用涉及到用用户的比特币地址交换小偷的地址。

 

”门。io已经拿下了StatCounter，所以这次特别的攻击应该结束了，Boshell告诉TechNewsWorld。

 

此次违约造成的损失和欺诈风险还无法量化。博壳牌补充说，攻击者使用多个比特币地址进行转账，并指出，此次攻击可能会影响使用StatCounter的任何网站。

 

保护策略并非万无一失

 

StatCounter需要改进自己的代码审计，并不断检查只有授权代码在其网络上运行，Red Lion的COO Joshua Marpet建议道。但是，大多数用户不会意识到StatCounter是错误的。

 

“他们会责怪门。任何事情都有可能发生——生意损失，银行挤兑，’甚至关门大吉，”他告诉TechNewsWorld。

 

检查代码并不总是一个可行的预防计划。在这种情况下，恶意代码看起来就像门。io用户自己的说明，注意到隐私律师的Boshell。

 

“这是不容易被门的欺诈工具检测到的。io用于防范和检测恶意软件，”她说。

 

BeyondTrust的企业和解决方案架构高级主管布赖恩•查贝尔(Brian Chappell)表示，网络管理员实际上不会受到这种类型的攻击影响，因为恶意代码是在工作站/笔记本电脑上处理的，而不是在web服务器上。它也没有提供任何机制来获得对系统的控制。

 

他告诉TechNewsWorld:“本质上，很多明星需要排队，才能让这成为一个重大风险。”“有效的漏洞和特权管理自然会限制任何入侵的影响。”

 

这是管理员需要关注的方向。Chappell补充说，他们无法控制最初的攻击，假设目标网站是他们组织内部可以接受的网站。

Eset的Faou指出，即使是一个受到良好保护的网站，也可能因为泄露第三方脚本而被攻破。

 

他说:“因此，网站管理员应该仔细选择他们链接的外部JavaScript代码，如果没有必要，应该避免使用它们。”

 

Nomics的首席执行官克莱•柯林斯(Clay Collins)建议，一种潜在的策略是筛选用一个比特币地址替换另一个比特币地址的脚本。

 

他告诉TechNewsWorld，使用安全口碑良好的分析服务是其中的一部分。

 

“有广告/脚本拦截器的人并不容易受到攻击，”Collins说。

 

更多的最佳实践

 

Acceptto的首席安全架构师Fausto Oliveira指出，流量分析、网站扫描和代码审计是一些能够检测到某些东西导致异常交易和流量的工具。然而，在一开始就阻止攻击是很理想的。

 

“如果门。io客户的应用程序需要超过一定数量的强大的带外认证，或者如果一笔交易的目标是一个未知的收件人，那么他们的客户就有机会阻止交易，并获得早期发现出错的机会，”Oliveira告诉TechNewsWorld。

 

使用像NoScript和uBlock/uMatrix这样的脚本拦截插件可以将个人控制的措施放在网站用户的手中。BlockRe的首席运营官Raymond Zenkich指出，这使得网络浏览更具挑战性。

 

“但你可以看到什么代码被拉进一个网站，如果没有必要，就禁用它，”他告诉TechNewsWorld。

 

Zenkich说:“Web开发人员需要停止将第三方脚本放在敏感页面上，而将他们的责任置于用户对广告收入、指标等的渴望之上。”

 

谨防第三方是

 

Zenchain的联合创始人Seth Hornby建议，作为一种规则，Adaptable华宇注册的产品系列采用QFN封装，尺寸为5mm x 5mm和8mm x 8mm。最初的器件产品（AnD7200，AnD7220，AnD7202和AnD7122）采用5mm x 5mm耐热增强型QFN封装，目前华宇登录平台已开始供货第三方脚本的数量应该被网站管理员控制在最低限度，因为每个脚本都代表一个潜在的攻击载体。

 

他对TechNewsWorld表示:“对于交易所来说，提款的额外确认在这种情况下也是有益的，因为这种攻击涉及将用户的比特币地址与盗贼的地址交换。”

 

FCoin创始人张健警告称，即使是第三方外包解决方案也可能为网络欺诈打开大门。

 

“因此，加密货币领域的许多公司在不同的职责和任务上都依赖第三方公司。这种外包的后果是一种责任的丧失。这让许多公司陷入了困境，无法在为时过晚之前定位这种性质的攻击，”他告诉TechNewsWorld。

 

相反，网络管理员应该自始至终致力于创建他们的工具和产品的内部版本，Jian建议，以确保他们能够控制这些安全措施。