火星链 火星链
Ctrl+D收藏火星链
首页 > BNB > 正文

ORD:慢雾:揭露浏览器恶意书签如何盗取你的 Discord Token

作者:

时间:1900/1/1 0:00:00

背景

区块链的世界遵循黑暗森林法则,在这个世界我们随时可能遭受到来自不明的外部攻击,作为普通用户不进行作恶,但是了解黑客的作恶的方式是十分必要的。

慢雾安全团队此前发布了区块链黑暗森林自救手册

(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook),其中提到了不少关于针对 NFT 项目方的 Discord 进行攻击的手法,为了帮助读者对相关钓鱼方式有更清晰的认知,本文将揭露其中一种钓鱼方法,即通过恶意的书签来盗取项目方 Discord 账号的 Token,用来发布虚假信息等诱导用户访问钓鱼网站,从而盗取用户的数字资产。

钓鱼事件

先来回顾一起 Discord 钓鱼事件:2022 年 3 月 14 日,一则推特称 NFT 项目 Wizard Pass 的 Discord 社区被者入侵,目前已造成 BAYC、Doodles、Clone X 等 NFT 被盗,详情如下:

慢雾:警惕Web3钱包WalletConnect钓鱼风险:金色财经报道,慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。

慢雾发现,部分 Web3 钱包在提供 WalletConnect 支持的时候,没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制,因此会在钱包的任意界面弹出签名请求。[2023/4/17 14:08:53]

(来源:https://twitter.com/SerpentAU/status/1503232270219431941)

牵出其中一个解读:

(来源:https://twitter.com/sentinelwtf/status/1496293768542429187)

该解读里说的 bookmark 就是浏览器书签,这个书签里的内容可以是一段 JavaScript 恶意代码,当 Discord 用户点击时,恶意 JavaScript 代码就会在用户所在的 Discord 域内执行,盗取 Discord Token,攻击者获得项目方的 Discord Token 后就可以直接自动化接管项目方的 Discord 账户相关权限。

慢雾:LendHub疑似被攻击损失近600万美金,1100枚ETH已转移到Tornado Cash:金色财经报道,据慢雾区情报,HECO生态跨链借贷平台LendHub疑似被攻击,主要黑客获利地址为0x9d01..ab03。黑客于1月12日从Tornado.Cash接收100ETH后,将部分资金跨链到Heco链展开攻击后获利,后使用多个平台(如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge)跨链或兑换被盗资金。截至目前,黑客已分11笔共转1,100ETH到Tornado.Cash。被攻击的具体原因尚待分析,慢雾安全团队将持续跟进此事件。[2023/1/13 11:10:43]

背景知识

要理解该事件需要读者有一定的背景知识,现在的浏览器都有自带的书签管理器,在提供便利的同时却也容易被攻击者利用。通过精心构造恶意的钓鱼页面可以让你收藏的书签中插入一段 JavaScript 代码,当受害者点击书签时会以当前浏览器标签页的域进行执行。

慢雾:Quixotic黑客盗取约22万枚OP,跨链至BNB Chain后转入Tornado Cash:7月1日消息,据慢雾分析,Quixotic黑客盗取了大约22万枚OP(约11.9万美元),然后将其兑换成USDC并跨链到BNB Chain,之后将其兑换成BNB并转入Tornado Cash。[2022/7/1 1:44:55]

以上图为例,受害者打开了 discord.com 官网,并在这个页面点击了之前收藏的恶意的书签“Hello,World!” 从而执行了一个弹窗语句,可以发现执行的源显示的是 discord.com。

这里有一个域的概念,浏览器是有同源策略等防护策略的,按理不属于 discord.com 做出的操作不应该在 discord.com 域的页面有响应,但书签却绕过了这个限制。

可以预见书签这么个小功能隐含的安全问题,正常添加书签的方式会明显看到书签网址:

稍微有安全意识的读者应该会直接看到网址信息明显存在问题。

慢雾:Lendf.Me攻击者刚归还了126,014枚PAX:慢雾安全团队从链上数据监测到,Lendf.Me攻击者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)刚向Lendf.Me平台admin账户(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)转账126,014枚PAX,并附言\"Better future\"。随后Lendf.Me平台admin账户通过memo回复攻击者并带上联系邮箱。此外,Lendf.Me攻击者钱包地址收到一些受害用户通过memo求助。[2020/4/20]

当然如果是一个构造好诱导你拖拽收藏到书签栏到页面呢?可以看到 twitter 链接中的演示视频就是构造了这么个诱导页面:”Drag this to your bookmarked”。

也就是拖着某个链接即可添加到书签栏,只要钓鱼剧本写得足够真实,就很容易让安全意识不足的用户中招。

分析 | 慢雾:攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析,从DragonEx公布的“攻击者地址”的分析来看,20 个币种都被盗取(但还有一些DragonEx可交易的知名币种并没被公布),从链上行为来看攻击这些币种的攻击手法并不完全相同,攻击持续的时间至少有1天,但能造成这种大面积盗取结果的,至少可以推论出:攻击者拿下了DragonEx尽可能多的权限,更多细节请留意后续披露。[2019/3/26]

要实现拖拽即可添加到书签栏只需要构造一个 a 标签,下面是示例代码:

书签在点击时可以像在开发者工具控制台中的代码一样执行,并且会绕过 CSP(Content Security Policy)策略。

读者可能会有疑问,类似 “javascript:()” 这样的链接,在添加进入到浏览器书签栏,浏览器竟然会没有任何的提醒?

笔者这里以谷歌和火狐两款浏览器来进行对比。

使用谷歌浏览器,拖拽添加正常的 URL 链接不会有任何的编辑提醒。

使用谷歌浏览器,拖拽添加恶意链接同样不会有任何的编辑提醒。

使用火狐浏览器如果添加正常链接不会有提醒。

使用火狐浏览器,如果添加恶意链接则会出现一个窗口提醒编辑确认保存。

由此可见在书签添加这方面火狐浏览器的处理安全性更高。

场景演示

演示采用的谷歌浏览器,在用户登录 Web 端 Discord 的前提下,假设受害者在钓鱼页面的指引下添加了恶意书签,在 Discord  Web 端登录时,点击了该书签,触发恶意代码,受害者的 Token 等个人信息便会通过攻击者设置好的 Discord webhook 发送到攻击者的频道上。

下面是演示受害者点击了钓鱼的书签:

下面是演示攻击者编写的 JavaScript 代码获取 Token 等个人信息后,通过 Discord Server 的 webhook 接收到。

笔者补充几点可能会产生疑问的攻击细节:

1. 为什么受害者点了一下就获取了?

通过背景知识我们知道,书签可以插入一段 JavaScript 脚本,有了这个几乎可以做任何事情,包括通过 Discord 封装好的 webpackChunkdiscord_app 前端包进行信息获取,但是为了防止作恶的发生,详细的攻击代码笔者不会给出。

2.  为什么攻击者会选择 Discord webhook 进行接收?

因为 Discord webhook 的格式为

“https://discord.com/api/webhooks/xxxxxx”,直接是 Discord 的主域名,绕过了同源策略等问题,读者可以自行新建一个 Discord webhook 进行测试。

3. 拿到了 Token 又能怎么样?

拿到了 Token 等同于登录了 Discord 账号,可以做登录 Discord 的任何同等操作,比如建立一个 Discord webhook 机器人,在频道里发布公告等虚假消息进行钓鱼。

总结

攻击时刻在发生,针对已经遭受到恶意攻击的用户,建议立刻采取如下行动进行补救:

1. 立刻重置 Discord 账号密码。

2. 重置密码后重新登录该 Discord 账号来刷新 Token,才能让攻击者拿到的 Token 失效。

3. 删除并更换原有的 webhook 链接,因为原有的 webhook 已经泄露。

4. 提高安全意识,检查并删除已添加的恶意书签。

作为用户,重要的是要注意任何添加操作和代码都可能是恶意的,Web 上会有很多的扩展看起来非常友好和灵活。书签不能阻止网络请求,在用户手动触发执行的那一刻,还是需要保持一颗怀疑的心。

本文到这边就结束了,慢雾安全团队将会揭露更多关于黑暗森林的攻击事件,希望能够帮助到更多加密世界的人。

By:耀@慢雾安全团队

标签:DISCSCOSCORORDDISC币ScoinSCOR币ORDI价格

BNB热门资讯
ETA:元宇宙技术、机遇与探索

目前元宇宙依旧处于探索中,面临着许多挑战和机遇,需要相关各类关键技术的支撑。4月17日上午,以“元宇宙技术、机遇与探索”为主题的在线沙龙顺利召开.

1900/1/1 0:00:00
数字货币:安信证券:海内外NFT发展路径的分化及长短期展望

安信证券杨勇:6月有望拉锯向上:安信证券杨勇指出,模型显示,A股当前底部级别较大,或处于与2016年1季度以及2018年4季度级别相当的底部区域.

1900/1/1 0:00:00
区块链:深圳市人大代表林良浩:解决区块链前沿技术的发展风险隐患

4月11日,深圳市七届人大二次会议开幕。会议期间,深圳市人大代表林良浩提交了《关于解决区块链前沿技术的发展风险隐患的建议》。他认为,区块链技术目前尚不成熟,仍处于发展早期.

1900/1/1 0:00:00
NFT:NFT中的版权漏洞:产品设计需考虑法律层面

许多 NFT 和 DAO 旨在提供新的或更方便的方式来拥有和销售创意作品。 Beeple 的 NFT 作品“ EVERYDAYS: The First 5000 Days” 在拍卖会上以 690.

1900/1/1 0:00:00
ASI:金色观察|Paradigm:零知识证明挖矿或媲美PoW挖矿市场

零知识密码学是过去 50 年计算机科学中最显着的创新之一。零知识证明 (ZKP) 提供了独特的属性,使其成为各种区块链扩展和隐私解决方案的重要组成部分,包括像StarkNet这样的 ZK rol.

1900/1/1 0:00:00
ELE:金色观察|6图看懂Celestia上的主权Rollup

在人们谈论Rollup时,经常遗漏一个非常重要的Rollup,即Celestia上的主权Rollup(Sovereign Rollup).

1900/1/1 0:00:00