SCOR:慢霧：揭露瀏覽器惡意書簽如何盜取你的Discord賬戶_DISC價格

背景

區塊鏈的世界遵循黑暗森林法則，在這個世界我們隨時可能遭受到來自不明的外部攻擊，作為普通用戶不進行作惡，但是了解黑客的作惡的方式是十分必要的。

慢霧安全團隊此前發布了區塊鏈黑暗森林自救手冊

，其中提到了不少關于針對NFT項目方的Discord進行攻擊的手法，為了幫助讀者對相關釣魚方式有更清晰的認知，本文將揭露其中一種釣魚方法，即通過惡意的書簽來盜取項目方Discord賬號的Token，用來發布虛假信息等誘導用戶訪問釣魚網站，從而盜取用戶的數字資產。

釣魚事件

先來回顧一起Discord釣魚事件：2022年3月14日，一則推特稱NFT項目WizardPass的Discord社區被詐騙者入侵，目前已造成BAYC、Doodles、CloneX等NFT被盜，詳情如下：

Doodles NFT交易總額突破20萬枚ETH，過去7天漲幅達268.87%:金色財經報道，據 NFTgo.io 數據顯示，Doodles NFT 交易總額已突破 20 萬枚 ETH，截至目前為 20.5 萬枚 ETH，當前該系列地板價為 6.6 ETH。此外，或受 Doodles 2 發布影響，Doodles NFT 過去 7 天交易額達到 4620 ETH，漲幅為 268.87%。[2023/1/28 11:34:02]

牽出其中一個解讀：

該解讀里說的bookmark就是瀏覽器書簽，這個書簽里的內容可以是一段JavaScript惡意代碼，當Discord用戶點擊時，惡意JavaScript代碼就會在用戶所在的Discord域內執行，盜取DiscordToken，攻擊者獲得項目方的DiscordToken后就可以直接自動化接管項目方的Discord賬戶相關權限。

泰國證券交易委員會發布加密錢包監管規則：加密托管服務商須構建數字錢包管理系統:金色財經報道，泰國證券交易委員會（SEC）發布數字資產錢包監管規則，要求為客戶數字資產提供托管服務的數字資產業務運營商建立數字錢包管理系統，以適應數字資產和密鑰的高效托管，并確保客戶資產安全。該法規涵蓋以下要求：

一、監督數字錢包和密鑰的風險管理和管理政策和指南；

二、設計、開發和管理數字錢包以及適當、安全地創建、維護和訪問密鑰或其他相關信息的政策和程序；

三、發生任何可能影響數字錢包和密鑰管理系統的事件時的應急計劃。

該規定自 2023 年 1 月 16 日起施行。根據過渡性規定，在規定生效前已對客戶資產進行托管的數字資產經營者，需在規定生效之日起 6 個月內全面合規。[2023/1/17 11:16:33]

背景知識

加密風投機構LongHash推出靈魂綁定Token以獎勵貢獻者:1月10日消息，加密風投機構LongHash Ventures旗下初創加速器部門LongHash X推出了一項獎勵鏈上貢獻者的新計劃LongHash Web，計劃使用靈魂綁定Token(SBT)或數字身份Token來提供獎勵。SBT代表了一個人在鏈上的專業聲譽和成就。此類Token不可轉讓，沒有任何貨幣價值。[2023/1/10 11:03:57]

要理解該事件需要讀者有一定的背景知識，現在的瀏覽器都有自帶的書簽管理器，在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段JavaScript代碼，當受害者點擊書簽時會以當前瀏覽器標簽頁的域進行執行。

BlockSec檢測到針對Invest Finance的攻擊:6月16日消息，BlockSec攻擊檢測系統檢測到針對Invest Finance的攻擊。攻擊者利用價格操縱使得Invest Finance對于抵押物的價值計算錯誤，從而能借出更多的資產。[2022/6/16 4:32:41]

以上圖為例，受害者打開了discord

)();">2Hello,World!3</a>

書簽在點擊時可以像在開發者工具控制臺中的代碼一樣執行，并且會繞過CSP(ContentSecurityPolicy)策略。

讀者可能會有疑問，類似「javascript:()」這樣的鏈接，在添加進入到瀏覽器書簽欄，瀏覽器竟然會沒有任何的提醒？

筆者這里以谷歌和火狐兩款瀏覽器來進行對比。

使用谷歌瀏覽器，拖拽添加正常的URL鏈接不會有任何的編輯提醒。

使用谷歌瀏覽器，拖拽添加惡意鏈接同樣不會有任何的編輯提醒。

使用火狐瀏覽器如果添加正常鏈接不會有提醒。

使用火狐瀏覽器，如果添加惡意鏈接則會出現一個窗口提醒編輯確認保存。

由此可見在書簽添加這方面火狐瀏覽器的處理安全性更高。

場景演示

演示采用的谷歌瀏覽器，在用戶登錄Web端Discord的前提下，假設受害者在釣魚頁面的指引下添加了惡意書簽，在DiscordWeb端登錄時，點擊了該書簽，觸發惡意代碼，受害者的Token等個人信息便會通過攻擊者設置好的Discordwebhook發送到攻擊者的頻道上。

下面是演示受害者點擊了釣魚的書簽：

下面是演示攻擊者編寫的JavaScript代碼獲取Token等個人信息后，通過DiscordServer的webhook接收到。

筆者補充幾點可能會產生疑問的攻擊細節：

1.為什么受害者點了一下就獲取了？

通過背景知識我們知道，書簽可以插入一段JavaScript腳本，有了這個幾乎可以做任何事情，包括通過Discord封裝好的webpackChunkdiscord_app前端包進行信息獲取，但是為了防止作惡的發生，詳細的攻擊代碼筆者不會給出。

2.為什么攻擊者會選擇Discordwebhook進行接收？

因為Discordwebhook的格式為

「https://discord.com/api/webhooks/xxxxxx」，直接是Discord的主域名，繞過了同源策略等問題，讀者可以自行新建一個Discordwebhook進行測試。

3.拿到了Token又能怎么樣？

拿到了Token等同于登錄了Discord賬號，可以做登錄Discord的任何同等操作，比如建立一個Discordwebhook機器人，在頻道里發布公告等虛假消息進行釣魚。

總結

攻擊時刻在發生，針對已經遭受到惡意攻擊的用戶，建議立刻采取如下行動進行補救：

1.立刻重置Discord賬號密碼。

2.重置密碼后重新登錄該Discord賬號來刷新Token，才能讓攻擊者拿到的Token失效。

3.刪除并更換原有的webhook鏈接，因為原有的webhook已經泄露。

4.提高安全意識，檢查并刪除已添加的惡意書簽。

作為用戶，重要的是要注意任何添加操作和代碼都可能是惡意的，Web上會有很多的擴展看起來非常友好和靈活。書簽不能阻止網絡請求，在用戶手動觸發執行的那一刻，還是需要保持一顆懷疑的心。

本文到這邊就結束了，慢霧安全團隊將會揭露更多關于黑暗森林的攻擊事件，希望能夠幫助到更多加密世界的人。?

Tags：DISCDISSCORCORDDISC價格MDISScorpion FinanceCORD幣

萊特幣價格