Trendaavat aiheet
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Cos(余弦)😶🌫️
Yearnin huutaminen ketjussa on feikkiä, aivan kuten viimeksi kun Balancer hakkeroitiin, kaikki tehtiin saman valeuutisen tietojenkalastelujengin toimesta...
Tämä hyökkääjä valmisti kaasua Railgunin yksityisyysprotokollasta 28 päivää sitten, hyvin vähäisellä kaasulla (0.0006384 ETH):
0xFb63aa935Cf0a003335dCE9Cca03c4F9c0fa4779
0x011C654467a2f84068325Be2C856c1D07d27f9B7
Sitten käynnistä ainoa hyökkäyshyökkäys:
Ensisilmäyksellä tilanne oli melko monimutkainen, ja tämä käyttö lopulta tuotti 1 000 ETH Tornado Cashiksi, joka alun perin oli 1 100 ETH, josta 100 ETH ehdotettiin jatkamaan myöhempää käyttöä:
Muut voittoa talletettavat rahastot ovat täällä:
Hyökkääjän kokonaisvoitto on noin 9 miljoonaa dollaria. Minusta hyökkääjä on henkilö, jolla on vahva puhtausfetissi.
39,2K
Ihailen näitä ihmisiä kovasti: selain on sekasotku laajennuksia ja kasa niitä, jotka näyttävät hyvin ammattimaisilta ja kiireisiltä, mutta he eivät tiedä laajennusten erilaisista korkean etuoikeuden riskeistä... 🤦♂️
14.3.2025
Mielenkiintoista on, että monet aliarvioivat haitallisten laajennusten pahan riskin, ja monet liioittelevat pahantahtoisten laajennusten riskiä...
Olen kirjoittanut selainlaajennuksista pitkään (yksi niistä on avoimen lähdekoodin GitHub-varastossani, mustat evästeet ja vanhentunut), ja olen myös turvallisesti auditoinut tiettyjä lompakkolaajennuksia, joten olen sellainen tietoturva-asiantuntija, joka ymmärtää ne melko hyvin.
Laajennus voi tehdä pahaa, kuten varastaa evästeitä kohdesivuilta, yksityisyyttä localStoragessa (kuten tilin käyttöoikeustiedot, yksityisavaintiedot), DOM-manipulointia, pyyntöjen kaappaamista, lehtipöydän sisällön keräämistä jne. Määritä vain tarvittavat käyttöoikeudet manifest.json. Jos käyttäjä ei kiinnitä huomiota laajennuslupapyyntöön, se voi olla hankalaa.
Mutta jos laajennus haluaa tehdä pahaa, ja haluat suoraan osallistua muihin laajennuksiin, kuten tunnetuihin lompakkolaajennuksiin, se ei silti ole helppoa... Koska hiekkalaatikko on eristetty... Esimerkiksi on epätodennäköistä, että se varastaisi suoraan yksityisen avaimen/muistilauseen tiedot lompakkolaajennuksessa, ellei kyseessä ole typerä haavoittuvuus, jota käytetään pahantahtoisesti.
Jos olet huolissasi laajennuksen käyttöoikeusriskistä, on itse asiassa helppo arvioida tämä riski – laajennuksen asennuksen jälkeen et voi käyttää sitä ensin, katso laajennuksen ID:tä, etsi tietokoneen paikallinen polku, etsi manifest.json-tiedosto päätiedoston juurihakemistosta ja lähetä tiedoston sisältö suoraan tekoälylle käyttöoikeusriskin tulkintaa varten. Tämä vaihe ei ole käytettävissä, ja on erittäin kätevää kysyä suoraan tekoälyltä... Esimerkiksi DeepSeek/GPT/Grok/Claude jne. käyvät.
Jos ajattelutapasi on eristäytynyt, voit harkita Chrome Profilen käyttöönottoa erikseen tuntemattomille laajennuksille, ainakin pahuuden hallitsemiseksi. Lisäksi laajennukset voidaan sulkea chrome://extensions/, jos ne loppuvat, eikä useimpien laajennusten tarvitse olla auki koko ajan.
Kirjoitukseni tarkoitus on itse asiassa ohjata kaikkia olemaan parempia tekoälyn käytössä (muutama vuosi sitten se oli hyvä hakukoneiden käytössä), eikä tekoäly ole ongelma näiden perusturvallisuusongelmien käsittelyssä...
69,29K
Johtavat
Rankkaus
Suosikit