Cointelegraph, крупный игрок в мире криптовалютных новостей, стал жертвой серьезной кибератаки, которая выявила уязвимость в системе безопасности веб-информации.
Как произошла атака
Атака началась с того, что хакеры взломали рекламную систему Cointelegraph, внедрив вредоносный JavaScript код на фронтенд сайта. В отличие от традиционных фишинговых атак, это использовало доверенный новостной портал, показывая правдоподобное всплывающее окно на Cointelegraph.com.
Всплывающее окно сообщало пользователям, что они «случайно выбраны» для участия в новом токен-розыгрыше, предлагающем 50,000 «CTG» токенов как часть «честной инициативы запуска». Интерфейс имитировал настоящие раздачи токенов с брендингом Cointelegraph, таймером обратного отсчета и запросом на подключение криптовалютного кошелька.
Подтвержденные потери и масштаб атаки
Блокчейн-безопасностные компании, такие как Scam Sniffer и SlowMist, быстро оповестили о нападении, опубликовали объявления и изучили внедренный код. Полные масштабы ущерба еще предстоит оценить, но анализ блокчейна подтвердил, что несколько кошельков были исчерпаны в течение минут с момента начала атаки.
Не существует никакого токена CTG на крупных блокчейтах или биржах, и нет никаких признаков официального аирдропа от Cointelegraph.
Необходимые меры безопасности для Web3 издателей
Для предотвращения подобных атак криптовалютные издатели должны:
* Тестировать весь код сторонних реклам и аналитики на уязвимости. * Ставить реальное отслеживание и предупреждения о несанкционированных изменениях скриптов. * Использовать строгие политики безопасности контента (CSP) для блокировки недоверенных скриптов. * Проводить частые тесты на проникновение, имитирующие рекламные и фронтенд-атаки. * Обучать пользователей никогда не подключать кошельки или вводить ключи в ответ на всплывающие окна, даже на доверенных сайтах.
Атака на Cointelegraph подчеркивает, что даже самые безопасные крипто-платформы могут стать целями атак. По мере усложнения мошенничеств необходимо внедрение новых мер безопасности как для издателей, так и для пользователей.
