慢雾余弦揭露Cointelegraph XSS攻击事件

11月28日消息，网络安全专家慢雾的余弦在X平台发布了一则关于针对加密货币行业的XSS攻击的警告。此次攻击者利用了Cointelegraph网站的XSS漏洞，成功诱使目标用户点击带有恶意脚本的链接，从而导致用户信息泄露。余弦详细描述了攻击的流程，并提醒加密社区对这类潜在风险保持警惕。

根据余弦的描述，攻击过程的第一步是通过Cointelegraph的官方网站生成带有恶意XSS脚本的链接。用户一旦点击链接，恶意脚本便会自动执行。攻击者巧妙地将浏览器的地址栏伪装成官方未发布的草稿页面（https://cointelegraph[.]com/not-public/drafts/article-1033），让用户产生误导，误以为这是来自Cointelegraph的官方内容。

接下来，页面会弹出一个伪造的“Sign in with X”登录框，诱导用户点击该按钮以授权X平台的第三方应用权限。值得注意的是，在第三方应用的权限授权页面中，攻击者故意留下了一个巨大的空白区域，试图利用用户的不注意误导他们点击“授权”按钮。如果用户在没有仔细查看权限列表的情况下点击了授权，攻击者便能够接管与X平台相关的权限，造成严重的账户安全风险。

余弦指出，这种结合了XSS漏洞和钓鱼攻击手法的攻击方式对于普通用户来说非常难以防范，因为攻击过程看似无害且极其隐蔽。尽管这种攻击可能不会立即显示出明显的恶意，但一旦用户授权了第三方应用的权限，攻击者便能对其账户进行进一步控制。

为了防止类似的攻击，余弦建议加密货币社区的用户提高警惕，特别是在处理涉及第三方应用权限和账户授权时，务必仔细查看每一项权限要求，避免轻易授权不明应用。同时，相关平台和网站也应加强漏洞修复，确保XSS漏洞不再被滥用，以保护用户的安全。