CORD:慢雾：揭露浏览器恶意书签如何盗取你的 Discord Token

背景

区块链的世界遵循黑暗森林法则，在这个世界我们随时可能遭受到来自不明的外部攻击，作为普通用户不进行作恶，但是了解黑客的作恶的方式是十分必要的。

慢雾安全团队此前发布了区块链黑暗森林自救手册

，其中提到了不少关于针对NFT项目方的Discord进行攻击的手法，为了帮助读者对相关钓鱼方式有更清晰的认知，本文将揭露其中一种钓鱼方法，即通过恶意的书签来盗取项目方Discord账号的Token，用来发布虚假信息等诱导用户访问钓鱼网站，从而盗取用户的数字资产。

钓鱼事件

先来回顾一起Discord钓鱼事件：2022年3月14日，一则推特称NFT项目WizardPass的Discord社区被者入侵，目前已造成BAYC、Doodles、CloneX等NFT被盗，详情如下：

牵出其中一个解读：

慢雾：Gate官方Twitter账户被盗用，谨慎互动:10月22日消息，安全团队慢雾发文称：加密平台Gate官方Twitter账户被盗用，谨慎互动。半小时前，攻击者利用该账户发文，诱导用户进入虚假网站连接钱包。此外，慢雾科技创始人余弦在社交媒体上发文表示：注意下，Gate官方推特应该是被黑了，发送了钓鱼信息，这个网址 g?te[.]com 是假的（之前谈过的 Punycode 字符有关的钓鱼域名），如果你去Claim会出现eth_sign这种签名钓鱼，可能导致ETH等相关资产被盗。[2022/10/22 16:35:14]

该解读里说的bookmark就是浏览器书签，这个书签里的内容可以是一段JavaScript恶意代码，当Discord用户点击时，恶意JavaScript代码就会在用户所在的Discord域内执行，盗取DiscordToken，攻击者获得项目方的DiscordToken后就可以直接自动化接管项目方的Discord账户相关权限。

背景知识

要理解该事件需要读者有一定的背景知识，现在的浏览器都有自带的书签管理器，在提供便利的同时却也容易被攻击者利用。通过精心构造恶意的钓鱼页面可以让你收藏的书签中插入一段JavaScript代码，当受害者点击书签时会以当前浏览器标签页的域进行执行。

慢雾：跨链互操作协议Nomad桥攻击事件简析:金色财经消息，据慢雾区消息，跨链互操作协议Nomad桥遭受黑客攻击，导致资金被非预期的取出。慢雾安全团队分析如下：

1. 在Nomad的Replica合约中，用户可以通过send函数发起跨链交易，并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根，其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。

2. 项目方在进行Replica合约部署初始化时，先将可信根设置为0，随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0，这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。

3. 因此攻击者可以直接构造任意消息，由于未经过prove因此此消息映射返回的根是0，而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效，导致了攻击者任意构造的消息可以正常执行，从而窃取Nomad桥的资产。

综上，本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0，且在进行可信根修改时并未将旧根失效，导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]

以上图为例，受害者打开了discord.com官网，并在这个页面点击了之前收藏的恶意的书签“Hello,World!”从而执行了一个弹窗语句，可以发现执行的源显示的是discord.com。

慢雾：Lendf.Me攻击者刚归还了126,014枚PAX:慢雾安全团队从链上数据监测到，Lendf.Me攻击者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)刚向Lendf.Me平台admin账户(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)转账126,014枚PAX，并附言\"Better future\"。随后Lendf.Me平台admin账户通过memo回复攻击者并带上联系邮箱。此外，Lendf.Me攻击者钱包地址收到一些受害用户通过memo求助。[2020/4/20]

这里有一个域的概念，浏览器是有同源策略等防护策略的，按理不属于discord.com做出的操作不应该在discord.com域的页面有响应，但书签却绕过了这个限制。

可以预见书签这么个小功能隐含的安全问题，正常添加书签的方式会明显看到书签网址：

稍微有安全意识的读者应该会直接看到网址信息明显存在问题。

声音 | 慢雾：ETDP钱包连续转移近2000 ETH到Bitstamp交易所，项目方疑似跑路:据慢雾科技反(AML)系统监测显示，自北京时间 12 月 16 日凌晨 2 点开始，ETDP 项目方钱包(地址 0xE1d9C35F…19Dc1C3)连续转移近 2000 ETH 到 Bitstamp 交易所，另有 3800 ETH 分散在 3 个新地址中，未发生进一步动作。慢雾安全团队在此提醒交易所、钱包注意加强地址监控，避免相关恶意资金流入平台。[2019/12/16]

当然如果是一个构造好诱导你拖拽收藏到书签栏到页面呢？可以看到twitter链接中的演示视频就是构造了这么个诱导页面：”Dragthistoyourbookmarked”。

也就是拖着某个链接即可添加到书签栏，只要钓鱼剧本写得足够真实，就很容易让安全意识不足的用户中招。

要实现拖拽即可添加到书签栏只需要构造一个a标签，下面是示例代码：

动态 | 慢雾： 警惕利用EOS及EOS上Token的提币功能恶意挖矿:近期由于EIDOS空投导致EOS主网CPU资源十分紧张，有攻击者开始利用交易所/DApp提币功能恶意挖矿，请交易所/DApp在处理EOS及EOS上Token的提币时，注意检查用户提币地址是否是合约账号，建议暂时先禁止提币到合约账号，避免被攻击导致平台提币钱包的CPU资源被恶意消耗。同时，需要注意部分交易所的EOS充值钱包地址也是合约账号，需要设置白名单避免影响正常用户的提币操作。[2019/11/6]

书签在点击时可以像在开发者工具控制台中的代码一样执行，并且会绕过CSP(ContentSecurityPolicy)策略。

读者可能会有疑问，类似“javascript:()”这样的链接，在添加进入到浏览器书签栏，浏览器竟然会没有任何的提醒？

笔者这里以谷歌和火狐两款浏览器来进行对比。

使用谷歌浏览器，拖拽添加正常的URL链接不会有任何的编辑提醒。

使用谷歌浏览器，拖拽添加恶意链接同样不会有任何的编辑提醒。

使用火狐浏览器如果添加正常链接不会有提醒。

使用火狐浏览器，如果添加恶意链接则会出现一个窗口提醒编辑确认保存。

由此可见在书签添加这方面火狐浏览器的处理安全性更高。

场景演示

演示采用的谷歌浏览器，在用户登录Web端Discord的前提下，假设受害者在钓鱼页面的指引下添加了恶意书签，在Discord?Web端登录时，点击了该书签，触发恶意代码，受害者的Token等个人信息便会通过攻击者设置好的Discordwebhook发送到攻击者的频道上。

下面是演示受害者点击了钓鱼的书签：

下面是演示攻击者编写的JavaScript代码获取Token等个人信息后，通过DiscordServer的webhook接收到。

笔者补充几点可能会产生疑问的攻击细节：

1.为什么受害者点了一下就获取了？

通过背景知识我们知道，书签可以插入一段JavaScript脚本，有了这个几乎可以做任何事情，包括通过Discord封装好的webpackChunkdiscord_app前端包进行信息获取，但是为了防止作恶的发生，详细的攻击代码笔者不会给出。

2.?为什么攻击者会选择Discordwebhook进行接收？

因为Discordwebhook的格式为

“https://discord.com/api/webhooks/xxxxxx”，直接是Discord的主域名，绕过了同源策略等问题，读者可以自行新建一个Discordwebhook进行测试。

3.拿到了Token又能怎么样？

拿到了Token等同于登录了Discord账号，可以做登录Discord的任何同等操作，比如建立一个Discordwebhook机器人，在频道里发布公告等虚假消息进行钓鱼。

总结

攻击时刻在发生，针对已经遭受到恶意攻击的用户，建议立刻采取如下行动进行补救：

1.立刻重置Discord账号密码。

2.重置密码后重新登录该Discord账号来刷新Token，才能让攻击者拿到的Token失效。

3.删除并更换原有的webhook链接，因为原有的webhook已经泄露。

4.提高安全意识，检查并删除已添加的恶意书签。

作为用户，重要的是要注意任何添加操作和代码都可能是恶意的，Web上会有很多的扩展看起来非常友好和灵活。书签不能阻止网络请求，在用户手动触发执行的那一刻，还是需要保持一颗怀疑的心。

本文到这边就结束了，慢雾安全团队将会揭露更多关于黑暗森林的攻击事件，希望能够帮助到更多加密世界的人。

By：耀@慢雾安全团队

标签：CORDDISCDISISCCordiumDISC价格Brise ParadiseFiscusFYI

MANA热门资讯