以太坊 区块浏览器 Etherscan 阻止了一项明显的黑客攻击，该攻击试图利用评论部分来部署恶意代码。

本周一，试图访问 Etherscan 的用户遇到了一条可疑的 Javascript 弹出消息“1337”。这表明攻击者试图将恶意代码加入网站之中，试图建立 以太坊 钓鱼网站。

Etherscan 公司在对此事进行调查后发现，该攻击源自网站的评论部分，该部分允许用户对以太坊地址进行评论，并由第三方评论托管服务机构 Disqus 提供。

Etherscan 迅速从网站页脚处关闭 Disqus 评论功能。

根据 Reddit 上的一份声明，Etherscan 目前正在开发一个补丁，将页脚 HTML 封装起来，防止未来发生类似事件。

根据 MyCrypto 开发者 Michael Hahn 的说法，在开发者注意到攻击的时候，网站似乎并没有给出任何恶意代码。

XSS，在本次事件中是利用了 Disqus 评论插入 javascript。当人们注意到它的时候，它似乎并没有在 Etherscan 的 Disqus 评论区发布恶意代码。Etherscan.io 随即被禁用，直到发布了一个安全补丁之后才启用。该补丁将对字段进行编码，以消除对 XSS 的攻击。

然而，黑客很有可能已经在构思比弹出消息更危险的攻击手段。例如，攻击者可能会加入一些代码，欺骗用户暴露私钥，或者将交易发送到一个黑客控制的钱包。

值得庆幸的是，本次黑客攻击似乎并没有导致资金的损失。

然而，最近发生的其他事件并没有像这件事一样解决得干净利落。

本月早些时候，黑客攻击了 Google Chrome 浏览器的扩展应用——免费 VPN Hola，监控 Hola 用户的活动，这些用户均使用了以太坊网络钱包服务 MyEtherWallet。

今年 2 月，黑客们通过在社交媒体和电子邮件对话中冒充代币销售人员的方式，从部分试图参与 Bee 代币 ICO 的用户那里获得了大约 100 万美元的资金。

发文时比特币价格 ￥54460.99

原文：https://www.ccn.com/someone-tried-to-hack-etherscan-using-the-comment-section/
作者：Josiah Wilmoth
编译：Joie
稿源（译）：巴比特资讯（http://www.8btc.com/someone-tried-to-hack-etherscan-using-the-comment-section） 版权声明： [


](http://creativecommons.org/licenses/by-nc-sa/3.0/cn/) 作者保留权利。文章为作者独立观点，不代表巴比特立场。