幣怎麼流進別人錢包了?瀏覽器擴充功能暗藏風險,一個步驟為你的加密資產提供保障

Jeff
分享
幣怎麼流進別人錢包了?瀏覽器擴充功能暗藏風險,一個步驟為你的加密資產提供保障

國外一名軟體工程師 Ariel Weinberger 於今日在 Medium 上發布了一篇文章,警告加密貨幣投資人,千萬不要忽略這個有可能讓你在不知不覺中失去資產的資安風險。

瀏覽器擴充功能暗藏風險

隨著加密貨幣市場持續上漲,越來越多騙子假借空投或加密貨幣理財商品的名義詐取錢財,同時,躲在暗處的駭客也在伺機埋伏,尋求攔截用戶資產的機會。

根據 Ariel Weinberger 的說法,大多數人常用的瀏覽器擴充功能其實存在不為人知的風險。以著名的擴充功能 AdBlock 為例,該功能能夠將 JavaScript 代碼注入你的瀏覽器,幫你隱藏煩人的廣告。反過來說,這種擴充功能也能夠在你用瀏覽器訪問交易所時,替換掉交易所前端顯示的入金 QR code 或地址,使你在不知不覺中將幣打到別人的錢包。

廣告 - 內文未完請往下捲動
歡迎打賞

Ariel Weinberger 在文章中也提供了惡意代碼的原始碼(僅作為教育意義)與運作原理。Ariel Weinberger 表示:

「技術上來說,你安裝的任何 Chrome 擴充功能都有辦法竊取你的加密貨幣。」

一但你打錯地址,這筆錢基本上就等於是別人的了,交易所沒有辦法幫你處理,因為他們從頭到尾都沒有接收到這筆資產,你也無法知道是誰拿走你的資產,因為整個區塊鏈系統是偽匿名的。或許你會認為可以找擴充功能的發佈者討個公道,但事實上,這未必是原開發團隊的問題,而是駭客透過其他管道將惡意代碼註入其擴展功能中,他們本身很大機率是駭客的受害者。

如何避免這個問題發生?

想要避免這樣的問題其實很簡單,只需要在瀏覽器的選單中點選「人員」,創建一個新的使用者,並且不要安裝任何擴充功能即可。未來不論是要處理加密貨幣交易、網路銀行還是線上股票交易等與資產有管的操作時,都透過這個新創建的使用者進行交易,便能為你的資產提供一份保障。

圖片發布
資料來源:Ariel Weinberger medium