据金色财经消息,慢雾创始人余弦在 X 平台发文称,攻击者利用 Cointelegraph 网站的 XSS 漏洞,诱导目标用户打开 Cointelegraph 官网链接(携带 XSS 恶意脚本),随后发生以下情况:
恶意脚本被加载并执行;
地址栏被篡改为 - 接着弹出“Sign in with X”的伪造框;
点击“Sign in with X”后,会打开 X 平台的第三方应用授权界面,权限列表处留下了一大段空白。此时,如果用户没有留意到并点击授权,X 平台的相关权限将被攻击者接管。
