DISC:慢雾：揭露浏览器恶意书签如何盗取你的 Discord Token_CORD

背景

区块链的世界遵循黑暗森林法则，在这个世界我们随时可能遭受到来自不明的外部攻击，作为普通用户不进行作恶，但是了解黑客的作恶的方式是十分必要的。

慢雾安全团队此前发布了区块链黑暗森林自救手册

（https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook），其中提到了不少关于针对 NFT 项目方的 Discord 进行攻击的手法，为了帮助读者对相关钓鱼方式有更清晰的认知，本文将揭露其中一种钓鱼方法，即通过恶意的书签来盗取项目方 Discord 账号的 Token，用来发布虚假信息等诱导用户访问钓鱼网站，从而盗取用户的数字资产。

钓鱼事件

先来回顾一起 Discord 钓鱼事件：2022 年 3 月 14 日，一则推特称 NFT 项目 Wizard Pass 的 Discord 社区被者入侵，目前已造成 BAYC、Doodles、Clone X 等 NFT 被盗，详情如下：

慢雾：过去一周Web3因安全事件损失约265万美元:7月17日消息，慢雾发推称，2023年7月10日至7月16日期间，Web3发生5起安全事件，总损失为265.5万美元，包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]

（来源：https://twitter.com/SerpentAU/status/1503232270219431941）

牵出其中一个解读：

（来源：https://twitter.com/sentinelwtf/status/1496293768542429187）

该解读里说的 bookmark 就是浏览器书签，这个书签里的内容可以是一段 JavaScript 恶意代码，当 Discord 用户点击时，恶意 JavaScript 代码就会在用户所在的 Discord 域内执行，盗取 Discord Token，攻击者获得项目方的 Discord Token 后就可以直接自动化接管项目方的 Discord 账户相关权限。

慢雾：近期出现假冒UniSat的钓鱼网站，请勿交互:5月13日消息，慢雾首席信息安全官 /img/2022812204138/2.jpg" />

以上图为例，受害者打开了 discord.com 官网，并在这个页面点击了之前收藏的恶意的书签“Hello,World!” 从而执行了一个弹窗语句，可以发现执行的源显示的是 discord.com。

慢雾：V神相关地址近日于Uniswap卖出3000枚以太坊:11月14日消息，据慢雾监测显示，以太坊创始人Vitalik Buterin地址（0xe692开头）近日在Uniswap V3上分三笔将3000枚以太坊（约400万美元）兑换成了USDC。[2022/11/14 13:03:22]

这里有一个域的概念，浏览器是有同源策略等防护策略的，按理不属于 discord.com 做出的操作不应该在 discord.com 域的页面有响应，但书签却绕过了这个限制。

可以预见书签这么个小功能隐含的安全问题，正常添加书签的方式会明显看到书签网址：

稍微有安全意识的读者应该会直接看到网址信息明显存在问题。

当然如果是一个构造好诱导你拖拽收藏到书签栏到页面呢？可以看到 twitter 链接中的演示视频就是构造了这么个诱导页面：”Drag this to your bookmarked”。

慢雾：DOD合约中的BUSD代币被非预期取出，主要是DOD低价情况下与合约锁定的BUSD将产生套利空间:据慢雾区情报，2022 年 3 月 10 日, BSC 链上的 DOD 项目中锁定的 BUSD 代币被非预期的取出。慢雾安全团队进行分析原因如下：

1. DOD 项目使用了一种特定的锁仓机制，当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁，若不满足以上条件，DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下，用户向 DOD 合约中转入指定数量的 DOD 代币后将获取该数量 1/10 的 BUSD 代币，即转入的 DOD 代币数量越多获得的 BUSD 也越多。

2. 但由于 DOD 代币价格较低，恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。

3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中，以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。

4. 之后只需要调用 DOD 合约中的 swap 函数，将持有的 DOD 代币转入 DOD 合约中，既可取出 1/10 转入数量的 BUSD 代币。

5. 因此 DOD 合约中的 BUSD 代币被非预期的取出。

本次 DOD 合约中的 BUSD 代币被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[2022/3/10 13:48:45]

也就是拖着某个链接即可添加到书签栏，只要钓鱼剧本写得足够真实，就很容易让安全意识不足的用户中招。

慢雾：Avalanche链上Zabu Finance被黑简析:据慢雾区情报，9月12日，Avalanche上Zabu Finance项目遭受闪电贷攻击，慢雾安全团队进行分析后以简讯的形式分享给大家参考：

1.攻击者首先创建两个攻击合约，随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币，并将获得的SPORE代币抵押至ZABUFarm合约中，为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币，随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取)，而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量，而不是记录合约实际收到的代币数量，但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷，从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的，因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励，随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的，此类问题导致的攻击已经发生的多起，慢雾安全团队建议：项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化，而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]

要实现拖拽即可添加到书签栏只需要构造一个 a 标签，下面是示例代码：

书签在点击时可以像在开发者工具控制台中的代码一样执行，并且会绕过 CSP(Content Security Policy)策略。

读者可能会有疑问，类似 “javascript:()” 这样的链接，在添加进入到浏览器书签栏，浏览器竟然会没有任何的提醒？

笔者这里以谷歌和火狐两款浏览器来进行对比。

使用谷歌浏览器，拖拽添加正常的 URL 链接不会有任何的编辑提醒。

使用谷歌浏览器，拖拽添加恶意链接同样不会有任何的编辑提醒。

使用火狐浏览器如果添加正常链接不会有提醒。

使用火狐浏览器，如果添加恶意链接则会出现一个窗口提醒编辑确认保存。

由此可见在书签添加这方面火狐浏览器的处理安全性更高。

场景演示

演示采用的谷歌浏览器，在用户登录 Web 端 Discord 的前提下，假设受害者在钓鱼页面的指引下添加了恶意书签，在 Discord  Web 端登录时，点击了该书签，触发恶意代码，受害者的 Token 等个人信息便会通过攻击者设置好的 Discord webhook 发送到攻击者的频道上。

下面是演示受害者点击了钓鱼的书签：

下面是演示攻击者编写的 JavaScript 代码获取 Token 等个人信息后，通过 Discord Server 的 webhook 接收到。

笔者补充几点可能会产生疑问的攻击细节：

1. 为什么受害者点了一下就获取了？

通过背景知识我们知道，书签可以插入一段 JavaScript 脚本，有了这个几乎可以做任何事情，包括通过 Discord 封装好的 webpackChunkdiscord_app 前端包进行信息获取，但是为了防止作恶的发生，详细的攻击代码笔者不会给出。

2.  为什么攻击者会选择 Discord webhook 进行接收？

因为 Discord webhook 的格式为

“https://discord.com/api/webhooks/xxxxxx”，直接是 Discord 的主域名，绕过了同源策略等问题，读者可以自行新建一个 Discord webhook 进行测试。

3. 拿到了 Token 又能怎么样？

拿到了 Token 等同于登录了 Discord 账号，可以做登录 Discord 的任何同等操作，比如建立一个 Discord webhook 机器人，在频道里发布公告等虚假消息进行钓鱼。

总结

攻击时刻在发生，针对已经遭受到恶意攻击的用户，建议立刻采取如下行动进行补救：

1. 立刻重置 Discord 账号密码。

2. 重置密码后重新登录该 Discord 账号来刷新 Token，才能让攻击者拿到的 Token 失效。

3. 删除并更换原有的 webhook 链接，因为原有的 webhook 已经泄露。

4. 提高安全意识，检查并删除已添加的恶意书签。

作为用户，重要的是要注意任何添加操作和代码都可能是恶意的，Web 上会有很多的扩展看起来非常友好和灵活。书签不能阻止网络请求，在用户手动触发执行的那一刻，还是需要保持一颗怀疑的心。

本文到这边就结束了，慢雾安全团队将会揭露更多关于黑暗森林的攻击事件，希望能够帮助到更多加密世界的人。

By：耀@慢雾安全团队

标签：DISCISCCORDDISDisciplinaaisc币价ConcordiumSAUDISHIB币

币安app官方下载最新版热门资讯