一位交易者剛剛在一次高級釣魚攻擊中損失了20萬美元——而且這個方法幾乎過於簡單。

事情的經過是這樣的：受害者將一個看似合法的網站加入書籤。聽起來無害，對吧？錯了。該網站已被入侵。當點擊時，它在背景執行惡意JavaScript，讓騙子可以完全控制交易者的錢包和資產。

這不是一般的釣魚鏈接垃圾郵件。這是一種利用瀏覽器書籤的供應鏈式攻擊——這是一個大多數人不會多想的攻擊向量。JavaScript載荷很可能在實時抓取私鑰、種子短語或會話令牌。

令人害怕的是？這只需要點擊書籤，完全不需要額外操作。沒有MetaMask的批准彈窗，也沒有明顯的紅旗。

開發者和安全研究人員：我們需要了解這些被入侵網站是如何持續運作的，以及哪些防禦措施有效。書籤驗證？DNS固定？硬體錢包強制執行？

如果你持有大量資產，是時候檢查你的書籤並考慮冷錢包存儲了。