慢雾余弦：攻击者利用Cointelegraph网站的XSS漏洞，诱骗目标用户打开Cointelegraph官网链接

金色财经报道，慢雾创始人余弦于X发文表示，攻击者利用 Cointelegraph 网站的 XSS 漏洞，诱骗目标用户打开 Cointelegraph 官网链接（带 XSS 恶意脚本），于是：
– 恶意脚本加载执行；
– 地址栏被设置成 https://cointelegraph[.]com/not-public/drafts/article-1033一看还以为是官方未发布的草稿；
– 接着弹出 Sign in with X 的伪造框；
– 点击 Sign in with X 后打开 X 的第三方应用授权，权限列表那处留了超大段空白，此时如果没留意点击了授权，X平台有关权限就会被攻击者接管。