在最近的披露中,安全公司CertiK 在錢包Connect 的驗證API 中發現了一個嚴重的安全漏洞,揭示了可能危及用戶加密貨幣交易的潛在網路釣魚風險。這項發現是在一次不相關的滲透測試中發現的,強調了快速發展的Web3 環境中Web 2.0 安全風險的持續威脅。
在一次無關的滲透測試過程中,我們在錢包Connect 的驗證API 中發現了XSS 漏洞。錢包Connect 是一種流行的協議,它將dApp 連結到數位貨幣包。 🧵👇
— CertiK (@CertiK) 2023 年12 月19 日
WalletConnect 是一種廣泛使用的協議,可作為去中心化應用程式(dApp) 和數位貨幣套件之間的橋樑,實現無縫互動。該漏洞可追溯到跨站點腳本(XSS) 缺陷,可透過建立網路釣魚站點來利用。該詐騙網站旨在利用用戶對錢包Connect 網域的固有信任,欺騙用戶在不知情的情況下授權進行惡意交易。
WalletConnect 解決XSS 漏洞
針對CertiK 的報告,WalletConnect 立即啟動了安全措施來解決已發現的漏洞。協定開發團隊迅速更新了validate_format函數,有效降低了XSS風險,增強了Verify API的整體安全性。錢包Connect 的快速反應凸顯了加密貨幣社群致力於維護去中心化系統的完整性和安全性。
值得注意的是,WalletConnect 的驗證API 在增強其整合錢包的安全性方面發揮著至關重要的作用。該協定充當主動措施,在用戶嘗試連接到潛在可疑或惡意網域時向用戶發出警報。透過提供即時警告,Verify API 可充當網路釣魚攻擊的屏障,增強透過錢包Connect 進行的加密貨幣交易的安全性。
從本質上講,這一事件清楚地提醒我們Web3 領域始終存在的安全挑戰。隨著加密貨幣生態系統的發展,持續保持警覺和主動採取安全措施的重要性怎麼強調也不為過。 CertiK 的識別和錢包Connect 對漏洞的快速解決不僅保護了用戶,還強調了主動安全審查在及時識別和解決潛在威脅方面的關鍵作用。