CoinVoice ha recentemente appreso che il fondatore di Slow Mist, Yu Xian, ha rivelato su piattaforma X un attacco XSS contro l'industria delle criptovalute, dove l'attaccante ha sfruttato una vulnerabilità XSS del sito web di Cointelegraph, inducendo gli utenti target ad aprire il link ufficiale di Cointelegraph (con script malevoli XSS), quindi:
Lo script malevolo viene caricato ed eseguito; la barra degli indirizzi viene impostata su un indirizzo sospetto (sembra persino una bozza non pubblicata ufficialmente); quindi compare una finestra di accesso falsa con 'Accedi con X'; cliccando su 'Accedi con X' si apre l'autorizzazione dell'app di terze parti di X, dove la lista dei permessi lascia un'enorme porzione di spazio vuoto, in quel momento, se non si fa attenzione e si clicca su autorizza, i permessi relativi a X vengono presi in carico dall'attaccante.
Questo tipo di phishing con un po' di sfruttamento delle vulnerabilità è particolarmente difficile da difendere per il pubblico, è necessario prestare maggiore attenzione. [Link originale]