📢 Gate廣場 #MBG任务挑战# 發帖贏大獎活動火熱開啓!
想要瓜分1,000枚MBG?現在就來參與,展示你的洞察與實操,成爲MBG推廣達人!
💰️ 本期將評選出20位優質發帖用戶,每人可輕鬆獲得50枚MBG!
如何參與:
1️⃣ 調研MBG項目
對MBG的基本面、社區治理、發展目標、代幣經濟模型等方面進行研究,分享你對項目的深度研究。
2️⃣ 參與並分享真實體驗
參與MBG相關活動(包括CandyDrop、Launchpool或現貨交易),並曬出你的參與截圖、收益圖或實用教程。可以是收益展示、簡明易懂的新手攻略、小竅門,也可以是現貨行情點位分析,內容詳實優先。
3️⃣ 鼓勵帶新互動
如果你的帖子吸引到他人參與活動,或者有好友評論“已參與/已交易”,將大幅提升你的獲獎概率!
MBG熱門活動(帖文需附下列活動連結):
Gate第287期Launchpool:MBG — 質押ETH、MBG即可免費瓜分112,500 MBG,每小時領取獎勵!參與攻略見公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通過首次交易、交易MBG、邀請好友註冊交易即可分187,500 MBG!參與攻略見公告:https://www.gate.com/announcements
Chrome插件SwitchyOmega存私鑰泄露風險 如何防範插件篡改
危險重臨:Chrome 代理切換插件存隱患,警惕私鑰泄露風險
近期,Chrome 瀏覽器知名代理切換插件 SwitchyOmega 被曝存在私鑰盜取風險,引發用戶廣泛關注。經調查發現,這一安全隱患早在去年就已有跡可循,但許多用戶可能忽視了相關警告,持續使用受污染版本的插件,面臨帳戶被劫持等嚴重威脅。本文將深入分析此次插件篡改事件,並探討如何有效預防類似風險。
事件回顧
這起事件最初源於一次攻擊調查。2024年12月24日,某公司一名員工遭遇釣魚郵件攻擊,導致其發布的瀏覽器插件被注入惡意代碼,試圖竊取用戶瀏覽器的敏感信息並上傳至攻擊者服務器。隨後的獨立調查顯示,谷歌插件商城中已有30多款插件遭受同樣的攻擊,其中包括Proxy SwitchOmega (V3)。
攻擊者通過僞造的OAuth授權釣魚郵件,獲取了開發者帳號的控制權,隨後上傳了包含惡意代碼的新版本擴展。利用Chrome的自動更新機制,受影響的用戶在不知情的情況下自動更新到了惡意版本。
調查報告指出,這些受攻擊影響的插件在谷歌商店的累計下載量超過50萬次,超過260萬用戶設備中的敏感數據可能已被竊取,對用戶構成了極大的安全風險。這些被篡改的擴展程序在應用商店中上架時間最長達18個月,期間受害用戶幾乎無法察覺自己的數據已遭泄露。
值得注意的是,由於Chrome商城的更新策略逐漸不支持V2版本的插件,而SwitchyOmega官方原版爲V2版本,因此也在不支持的範圍內。受污染的惡意版本爲V3版本,其開發者帳號與原版V2版本的帳號並不相同。因此,無法確認該版本是否由官方發布,也無法判斷是官方帳戶遭到黑客攻擊後上傳了惡意版本,還是V3版本的作者本身就存在惡意行爲。
如何預防插件被篡改?
爲避免插件被篡改或下載到惡意插件,用戶需要從安裝、使用、管理三個方面做好安全防護:
對於插件開發者和維護者,應該採取更嚴格的安全措施:
如何處理已被植入惡意代碼的插件?
如果發現插件已被惡意代碼感染,或者懷疑插件可能存在風險,建議用戶採取以下措施:
瀏覽器插件雖然能提升用戶體驗,但它們同樣可能成爲黑客攻擊的突破口,帶來數據泄露和資產損失的風險。因此,用戶在享受便利的同時,也需要保持警惕,養成良好的安全習慣。同時,開發者和平台方也應強化安全防護措施,確保插件的安全性和合規性。只有各方共同努力,提升安全意識並落實有效的防護措施,才能真正降低風險,保障數據和資產的安全。