加密貨幣交易所 Gate.io 11 月 7 日發布公告稱,已將用於「流量統計監控」的分析工具 StatCounter 從交易所網站中刪除。
公告中提到,Gate.io 於 11 月 6 日收到網路安全公司 ESET 發布的安全報告,報告聲稱全球最大的流量統計服務商 StatCounter 已遭駭客攻擊,被用於分析比特幣交易。根據 ESET 研究院 Matthieu Faou 的說法,駭客通過修改網站每個頁面上的 JavaScript 代碼來破壞擁有 200 多萬使用者的 StatCounter 平台。
據悉,駭客設法添加了一條包含「myaccount / withdraw / BTC」的惡意代碼,旨在將比特幣交易的目標地址替換成攻擊者的地址。
Faou 是首個發現這起「供應鏈攻擊」(supply-chain attack) 的人,他表示這段 URI(標識某個網絡資源名稱的字串) ——「myaccount / withdraw / BTC」僅在 Gate.io 上奏效,據稱是「這次攻擊的主要目標」。
Faou 在報告中總結道,最近的安全漏洞再次表明,外部 JavaScript 代碼在第三方的控制下,可以「不知不覺」隨時被修改。
Gate.io 得知此消息後,已通過 Virustotal 用 56 種防毒軟體掃描該網站, 均未收到任何可疑代碼的問題或報告。然而為了安全起見,Gate.io 還是立即刪除了 StatCounter 的統計功能。公告中還提到,
目前為止並未發現任何異常行為,為了避免不必要的風險,我們將無限期停止使用 StatCounter 的服務。
截至截稿時間,Gate.io 的日均交易量為 3,784 萬美元,在全球加密貨幣交易所中排名第 44 。