Coin 76 ওয়ালেটগুলি কয়েনমার্কেটক্যাপ ফ্রন্টেন্ডে শোষণে শুকিয়ে গেছে

কয়েনমার্কেটক্যাপের ওয়েবসাইটে একটি সুরক্ষা ত্রুটি কোনও আক্রমণকারীকে হোমপেজে সংক্ষেপে একটি দূষিত পপ-আপ যুক্ত করতে দেয় যার ফলে ক্ষতিগ্রস্থরা হাজার হাজার ডলার হারাতে পারে।

মেটামাস্ক দল শুক্রবার সন্ধ্যায় তাদের ওয়ালেটগুলি কয়েনমার্কেটক্যাপের ওয়েবসাইটে সংযুক্ত করার বিরুদ্ধে সতর্ক করেছিল কারণ মুদ্রা ট্র্যাকারের ফ্রন্টেন্ডটি ওয়ালেট ড্রেনার কেলেঙ্কারীকে ধাক্কা দেওয়ার জন্য আপস করা হয়েছিল।

প্রায় এক ঘন্টা পরে, কয়েনমার্কেটক্যাপ নিশ্চিত করেছে যে অনুরোধ করা হলে তার সাইটে দর্শনার্থীদের তাদের মানিব্যাগগুলি সংযুক্ত করা উচিত নয়।

পরে সন্ধ্যায়, সিএমসি ব্যাখ্যা করেছিলেন যে তার হোমপেজে একটি "ডুডল ইমেজ" এর একটি দুর্বলতা "একটি লিঙ্ক রয়েছে যা একটি এপিআই কলের মাধ্যমে দূষিত কোডকে ট্রিগার করেছিল, যার ফলে কিছু ব্যবহারকারীর জন্য একটি অপ্রত্যাশিত পপ-আপ তৈরি হয়েছিল।"

ক্রিপ্টো সাইবারসিকিউরিটি ফার্ম কয়েনস্পেক্ট সিকিউরিটি বলেছে যে এটি জাভাস্ক্রিপ্ট ইনজেকশন দুর্বলতা পুনরায় তৈরি করতে সক্ষম হয়েছিল যা লট্টি অ্যানিমেশন জেএসএন ফাইলগুলিতে একটি শোষণের মাধ্যমে সিএমসি ওয়ালেট ড্রেনার আক্রমণকে সহজতর করেছিল।

অন্যান্য সংস্থাগুলির তিন সাইবারসিকিউরিটি বিশেষজ্ঞরা সপ্তাহান্তে আমার কাছে আলাদাভাবে নিশ্চিত করেছেন যে ঘটনার বিষয়ে কয়েনস্পেসের মূল্যায়ন সঠিক।

সাইবারসিকিউরিটি ফার্ম যাচাইকরণের ল্যাবগুলির প্রতিষ্ঠাতা ট্রে ব্লক আমাকে বলেছিলেন যে তিনি ঘটনাটি পরীক্ষা করার জন্য ইন্টারনেট সংরক্ষণাগারটির ওয়েব্যাক মেশিনটি ব্যবহার করে কয়েনমার্কেটক্যাপের উত্স কোডের অনুলিপিগুলি পুনরুদ্ধার করতে সক্ষম হয়েছেন।

ব্লক সিএমসির সাইট সম্পর্কে বলেছেন, "তাত্ক্ষণিকভাবে যা লক্ষণীয় তা হ'ল স্কেলযোগ্য ভেক্টর গ্রাফিক (.svg) চিত্রগুলির ভারী ব্যবহার। "এসভিজি হ'ল পারফরম্যান্ট ওয়েবসাইটগুলি তৈরির জন্য একটি দুর্দান্ত ফর্ম্যাট যা বিভিন্ন ডিসপ্লে আকারগুলিতে দুর্দান্ত দেখায়, তবে সাম্প্রতিক সুরক্ষা দুর্বলতা আক্রমণকারীদের এসভিজি চিত্রগুলির অভ্যন্তরে এইচটিএমএল স্ক্রিপ্ট ট্যাগগুলি এম্বেড করার অনুমতি দিয়েছে যাতে আক্রমণকারী-নিয়ন্ত্রিত ওয়েবসাইটে ইউআরএল রয়েছে, তাদের ক্রস-সাইট স্ক্রিপ্টিংয়ের একটি ফর্ম কার্যকর করতে সক্ষম করে।"