背景

區塊鏈的世界遵循黑暗森林法則，在這個世界我們隨時可能遭受到來自不明的外部攻擊，作為普通用戶不進行作惡，但是了解黑客的作惡的方式是十分必要的。

慢霧安全團隊此前發布了區塊鏈黑暗森林自救手冊

（https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook），其中提到了不少關於針對 NFT 項目方的 Discord 進行攻擊的手法，為了幫助讀者對相關釣魚方式有更清晰的認知，本文將揭露其中一種釣魚方法，即通過惡意的書簽來盜取項目方 Discord 賬號的 Token，用來發布虛假信息等誘導用戶訪問釣魚網站，從而盜取用戶的數字資產。

釣魚事件

先來回顧一起 Discord 釣魚事件：2022 年 3 月 14 日，一則推特稱 NFT 項目 Wizard Pass 的 Discord 社區被詐騙者入侵，目前已造成 BAYC、Doodles、Clone X 等 NFT 被盜，詳情如下：

（來源：https://twitter.com/SerpentAU/status/1503232270219431941）

牽出其中一個解讀：

（來源：https://twitter.com/sentinelwtf/status/1496293768542429187）

該解讀裏說的 bookmark 就是瀏覽器書簽，這個書簽裏的內容可以是一段 JavaScript 惡意代碼，當 Discord 用戶點擊時，惡意 JavaScript 代碼就會在用戶所在的 Discord 域內執行，盜取 Discord Token，攻擊者獲得項目方的 Discord Token 後就可以直接自動化接管項目方的 Discord 賬戶相關權限。

背景知識

要理解該事件需要讀者有一定的背景知識，現在的瀏覽器都有自帶的書簽管理器，在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段 JavaScript 代碼，當受害者點擊書簽時會以當前瀏覽器標簽頁的域進行執行。

以上圖為例，受害者打開了 discord.com 官網，並在這個頁面點擊了之前收藏的惡意的書簽「Hello,World!」 從而執行了一個彈窗語句，可以發現執行的源顯示的是 discord.com。

這裏有一個域的概念，瀏覽器是有同源策略等防護策略的，按理不屬於 discord.com 做出的操作不應該在 discord.com 域的頁面有響應，但書簽卻繞過了這個限製。

可以預見書簽這麽個小功能隱含的安全問題，正常添加書簽的方式會明顯看到書簽網址：

稍微有安全意識的讀者應該會直接看到網址信息明顯存在問題。

當然如果是一個構造好誘導你拖拽收藏到書簽欄到頁面呢？可以看到 twitter 鏈接中的演示視頻就是構造了這麽個誘導頁面：」Drag this to your bookmarked」。

也就是拖著某個鏈接即可添加到書簽欄，只要釣魚劇本寫得足夠真實，就很容易讓安全意識不足的用戶中招。

要實現拖拽即可添加到書簽欄只需要構造一個 a 標簽，下面是示例代碼：  

1    

2   Hello, World!

3   

書簽在點擊時可以像在開發者工具控製臺中的代碼一樣執行，並且會繞過 CSP(Content Security Policy)策略。 

讀者可能會有疑問，類似 「javascript：()」 這樣的鏈接，在添加進入到瀏覽器書簽欄，瀏覽器竟然會沒有任何的提醒？

筆者這裏以谷歌和火狐兩款瀏覽器來進行對比。 

使用谷歌瀏覽器，拖拽添加正常的 URL 鏈接不會有任何的編輯提醒。

使用谷歌瀏覽器，拖拽添加惡意鏈接同樣不會有任何的編輯提醒。

使用火狐瀏覽器如果添加正常鏈接不會有提醒。

使用火狐瀏覽器，如果添加惡意鏈接則會出現一個窗口提醒編輯確認保存。

由此可見在書簽添加這方面火狐瀏覽器的處理安全性更高。

場景演示

演示采用的谷歌瀏覽器，在用戶登錄 Web 端 Discord 的前提下，假設受害者在釣魚頁面的指引下添加了惡意書簽，在 Discord  Web 端登錄時，點擊了該書簽，觸發惡意代碼，受害者的 Token 等個人信息便會通過攻擊者設置好的 Discord webhook 發送到攻擊者的頻道上。

下面是演示受害者點擊了釣魚的書簽：

下面是演示攻擊者編寫的 JavaScript 代碼獲取 Token 等個人信息後，通過 Discord Server 的 webhook 接收到。

筆者補充幾點可能會產生疑問的攻擊細節： 

1. 為什麽受害者點了一下就獲取了？

通過背景知識我們知道，書簽可以插入一段 JavaScript 腳本，有了這個幾乎可以做任何事情，包括通過 Discord 封裝好的 webpackChunkdiscord_app 前端包進行信息獲取，但是為了防止作惡的發生，詳細的攻擊代碼筆者不會給出。

2.  為什麽攻擊者會選擇 Discord webhook 進行接收？

因為 Discord webhook 的格式為

「https://discord.com/api/webhooks/xxxxxx」，直接是 Discord 的主域名，繞過了同源策略等問題，讀者可以自行新建一個 Discord webhook 進行測試。

3. 拿到了 Token 又能怎麽樣？

拿到了 Token 等同於登錄了 Discord 賬號，可以做登錄 Discord 的任何同等操作，比如建立一個 Discord webhook 機器人，在頻道裏發布公告等虛假消息進行釣魚。

總結

攻擊時刻在發生，針對已經遭受到惡意攻擊的用戶，建議立刻采取如下行動進行補救：

1. 立刻重置 Discord 賬號密碼。

2. 重置密碼後重新登錄該 Discord 賬號來刷新 Token，才能讓攻擊者拿到的 Token 失效。

3. 刪除並更換原有的 webhook 鏈接，因為原有的 webhook 已經泄露。

4. 提高安全意識，檢查並刪除已添加的惡意書簽。

作為用戶，重要的是要註意任何添加操作和代碼都可能是惡意的，Web 上會有很多的擴展看起來非常友好和靈活。書簽不能阻止網絡請求，在用戶手動觸發執行的那一刻，還是需要保持一顆懷疑的心。

本文到這邊就結束了，慢霧安全團隊將會揭露更多關於黑暗森林的攻擊事件，希望能夠幫助到更多加密世界的人。

聲明：投資有風險。本文不構成投資建議，請謹慎對待。第一導報定位為鏈接元宇宙的媒介，致力於成為元宇宙產業鏈條最有價值的媒介。歡迎關註元宇宙產業的同行添加小編微信DcMedia168。