DVP：Scatter钱包存在可欺诈风险 用户需警惕授权恶意交易

近日，DVP漏洞平台收到了一名白帽子提交Scatter钱包的漏洞。漏洞详情显示：DApp调起Scatter支付时，如果是多笔action放在一个transaction里，在默认的Human Readable显示模式中Scatter只是把每一个action罗列出来，并且在JSON Format显示模式中会把多笔相同的action只显示一个，这可能造成混淆。对于新手用户，很可能会误以为这是钱包的显示问题，从而失手确认导致直接资金损失。因为Scatter对此没有专门提示，仅仅在左边有一个“x actions in total”的提示，这个提示字体很小几乎不会注意到。 攻击者可通过开发一个DApp，在某个地方仅收费0.0001EOS，但实际支付时发起多笔交易来转移大量用户资金（由于在要求用户授权的时候Scatter钱包并不会显示交易总金额，而只会显示单笔交易金额，用户很容易被诱导确认）。 目前，DVP安全团队已经联系到Scatter官方并通报漏洞，对方称会在下个版本更新UI设计，防止用户授权此类恶意交易。