月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 中币 > 正文

ORD:慢雾:浏览器恶意书签是如何盗取你的Discord Token的?_ordi币上线交易所

作者:

时间:1900/1/1 0:00:00

作者:耀@慢雾安全团队背景

区块链的世界遵循黑暗森林法则,在这个世界我们随时可能遭受到来自不明的外部攻击,作为普通用户不进行作恶,但是了解黑客的作恶的方式是十分必要的。慢雾安全团队此前发布了区块链黑暗森林自救手册,其中提到了不少关于针对NFT项目方的Discord进行攻击的手法,为了帮助读者对相关钓鱼方式有更清晰的认知,本文将揭露其中一种钓鱼方法,即通过恶意的书签来盗取项目方Discord账号的Token,用来发布虚假信息等诱导用户访问钓鱼网站,从而盗取用户的数字资产。钓鱼事件

先来回顾一起Discord钓鱼事件:2022年3月14日,一则推特称NFT项目WizardPass的Discord社区被者入侵,目前已造成BAYC、Doodles、CloneX等NFT被盗,详情如下:

慢雾:过去一周Web3因安全事件损失约265万美元:7月17日消息,慢雾发推称,2023年7月10日至7月16日期间,Web3发生5起安全事件,总损失为265.5万美元,包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]

慢雾:近期出现新的流行恶意盗币软件Mystic Stealer,可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息,慢雾首席信息安全官@IM_23pds在社交媒体上发文表示,近期已出现新的加密货币盗窃软件Mystic Stealer,该软件可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击,如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包,是目前最流行的恶意软件,请用户注意风险。[2023/6/20 21:49:05]

书签在点击时可以像在开发者工具控制台中的代码一样执行,并且会绕过CSP策略。读者可能会有疑问,类似「javascript:()」这样的链接,在添加进入到浏览器书签栏,浏览器竟然会没有任何的提醒?笔者这里以谷歌和火狐两款浏览器来进行对比。使用谷歌浏览器,拖拽添加正常的URL链接不会有任何的编辑提醒。

慢雾:V神相关地址近日于Uniswap卖出3000枚以太坊:11月14日消息,据慢雾监测显示,以太坊创始人Vitalik Buterin地址(0xe692开头)近日在Uniswap V3上分三笔将3000枚以太坊(约400万美元)兑换成了USDC。[2022/11/14 13:03:22]

使用谷歌浏览器,拖拽添加恶意链接同样不会有任何的编辑提醒。

慢雾:警惕QANX代币的双花攻击风险:据慢雾区消息,近期存在恶意用户利用QANX代币的转账锁定、解锁功能(transferLocked/unlock)触发的事件记录与正常使用transfer功能转账触发的Transfer事件记录相同而进行双花攻击。

慢雾安全团队建议已上架此币种的平台及时自查,未上架的平台在对接此类币种时应注意以上风险。

QANX: 0xaaa7a10a8ee237ea61e8ac46c50a8db8bcc1baaa[2022/3/26 14:18:46]

使用火狐浏览器如果添加正常链接不会有提醒。

使用火狐浏览器,如果添加恶意链接则会出现一个窗口提醒编辑确认保存。

由此可见在书签添加这方面火狐浏览器的处理安全性更高。场景演示

演示采用的谷歌浏览器,在用户登录Web端Discord的前提下,假设受害者在钓鱼页面的指引下添加了恶意书签,在DiscordWeb端登录时,点击了该书签,触发恶意代码,受害者的Token等个人信息便会通过攻击者设置好的Discordwebhook发送到攻击者的频道上。下面是演示受害者点击了钓鱼的书签:

下面是演示攻击者编写的JavaScript代码获取Token等个人信息后,通过DiscordServer的webhook接收到。

笔者补充几点可能会产生疑问的攻击细节:1.为什么受害者点了一下就获取了?通过背景知识我们知道,书签可以插入一段JavaScript脚本,有了这个几乎可以做任何事情,包括通过Discord封装好的webpackChunkdiscord_app前端包进行信息获取,但是为了防止作恶的发生,详细的攻击代码笔者不会给出。2.为什么攻击者会选择Discordwebhook进行接收?因为Discordwebhook的格式为“https://discord.com/api/webhooks/xxxxxx”,直接是Discord的主域名,绕过了同源策略等问题,读者可以自行新建一个Discordwebhook进行测试。3.拿到了Token又能怎么样?拿到了Token等同于登录了Discord账号,可以做登录Discord的任何同等操作,比如建立一个Discordwebhook机器人,在频道里发布公告等虚假消息进行钓鱼。总结

攻击时刻在发生,针对已经遭受到恶意攻击的用户,建议立刻采取如下行动进行补救:立刻重置Discord账号密码。重置密码后重新登录该Discord账号来刷新Token,才能让攻击者拿到的Token失效。删除并更换原有的webhook链接,因为原有的webhook已经泄露。提高安全意识,检查并删除已添加的恶意书签。作为用户,重要的是要注意任何添加操作和代码都可能是恶意的,Web上会有很多的扩展看起来非常友好和灵活。书签不能阻止网络请求,在用户手动触发执行的那一刻,还是需要保持一颗怀疑的心。

标签:ORDSCORSCOISCordi币上线交易所Scorpion FinanceMaster Swiscoinisc币局

中币热门资讯
HER:下一个蓝筹爆款:Yuga Labs的元宇宙新主角Koda_PRESIDENTDOGE价格

Odaily星球日报译者|Moni 千呼万唤始出来。YugaLabs新项目Otherside终于要来了!北京时间5月1日中午12点,Otherside元宇宙将会闪亮登场.

1900/1/1 0:00:00
DAO:DAO在多元世界中挑战二元论_shibdao币价格

随着我们的研究,关于DAO的认知和实践,变得越来越抽象。经过上周的讨论,我们得出了二元论、二分法、二进制和对立论。但它们是否真的存在、是否有用、是否是所必需的。这些我们并不了解.

1900/1/1 0:00:00
STEP:「从量到质」提升网络效应,STEPN致力推动Web 3健身事业_STE

Odaily星球日报译者|Moni 作为将Web3革命引入健身行业的先行者,STEPN正在利用现代科技打造健身行业的未来,本文将重点介绍如何使用网络效应来促进健身行业的增长.

1900/1/1 0:00:00
NFT:Paradigm:详解渐进式荷兰拍卖_PARA

本文介绍了渐进式荷兰拍卖,一种能够有效地帮助欠缺流动性的资产完成公开销售的拍卖机制。GDA与此前已经被提出的「时间加权平均做市商」机制意在解决的问题类似,都是可以让资产在不依赖于市场已有流动性的.

1900/1/1 0:00:00
NFT:元宇宙发展状况之「可编辑空间或可进入空间游玩」项目调研(2)_tps币行情

具体项目调研下面将按不同分类以及元宇宙开放程度,对上述项目做具体的分析。分类方式介绍:将对项目分为“可编辑空间或可进入空间游玩”,“与DeFi结合”,“尚未确定”三个大类别;同时将根据“具有本身.

1900/1/1 0:00:00
SOL:《财富》特稿:Solana Labs及其创始人如何构建Web3核心层?_为什么有人说sol币要爆雷

迈阿密温暖的微风吹动着棕榈树,整个街区都被紫色的灯光淹没。现在是晚上10点半多一点,位于以壁画闻名的艺术社区Wynwood。一小群人从一个紫色的大拱门下经过,然后通过严格的安检.

1900/1/1 0:00:00