背景
区块链的世界遵循黑暗森林法则,在这个世界我们随时可能遭受到来自不明的外部攻击,作为普通用户不进行作恶,但是了解黑客的作恶的方式是十分必要的。
慢雾安全团队此前发布了区块链黑暗森林自救手册
,其中提到了不少关于针对NFT项目方的Discord进行攻击的手法,为了帮助读者对相关钓鱼方式有更清晰的认知,本文将揭露其中一种钓鱼方法,即通过恶意的书签来盗取项目方Discord账号的Token,用来发布虚假信息等诱导用户访问钓鱼网站,从而盗取用户的数字资产。
钓鱼事件
先来回顾一起Discord钓鱼事件:2022年3月14日,一则推特称NFT项目WizardPass的Discord社区被者入侵,目前已造成BAYC、Doodles、CloneX等NFT被盗,详情如下:
Coinbase已为FLR-USD交易对开通全交易模式:4月15日消息,据官方消息,FLR-USD交易对现已在Coinbase交易所、Coinbase Pro和Advanced Trade处于全交易模式,限价单、市价单和止损单现已全部可用。[2023/4/15 14:05:19]
牵出其中一个解读:
该解读里说的bookmark就是浏览器书签,这个书签里的内容可以是一段JavaScript恶意代码,当Discord用户点击时,恶意JavaScript代码就会在用户所在的Discord域内执行,盗取DiscordToken,攻击者获得项目方的DiscordToken后就可以直接自动化接管项目方的Discord账户相关权限。
背景知识
要理解该事件需要读者有一定的背景知识,现在的浏览器都有自带的书签管理器,在提供便利的同时却也容易被攻击者利用。通过精心构造恶意的钓鱼页面可以让你收藏的书签中插入一段JavaScript代码,当受害者点击书签时会以当前浏览器标签页的域进行执行。
MKR某多签地址昨晚将26
)();">2Hello,World!3</a>
14名美国国会议员致信国家环境保护局,称比特币挖矿对环境和经济均有好处:6月17日消息,尽管人们对比特币PoW挖矿的环境影响感到担忧,但一群美国国会议员已经致信国家环境保护局(EPA),解释这种做法实际上有一定的好处。
6月17日,加密货币分析师Dennis Porter在推特上公布了一封致EPA局长Michael S. Regan的信。根据信中内容,14名美国国会议员敦促该机构进行“全面分析,了解数字资产挖矿对环境的潜在影响”。签署者之一、参议员Cynthia Lummis转发了这封日期为6月16日的信,证实了其真实性。
信中写道:“美国是全球金融服务和技术创新的领导者。在技术快速变革的时代,我们必须重申我们对负责任创新的承诺,以确保未来的美国人继续享有繁荣和机会。”
在解释加密挖矿对环境的好处时,国会成员表示:“如你所知,数字资产矿机的能源使用有很大一部分是基于可再生能源。同时,许多矿机使用其他能源,如天然气,这些能源可能会被闲置。”此外,加密挖矿还可以“对能源电网产生实质性的稳定作用”,因为“它可以保持稳健的基本负载水平,但可以在需求高峰时迅速关闭”。(Finbold)[2022/6/17 4:35:20]
书签在点击时可以像在开发者工具控制台中的代码一样执行,并且会绕过CSP(ContentSecurityPolicy)策略。
读者可能会有疑问,类似「javascript:()」这样的链接,在添加进入到浏览器书签栏,浏览器竟然会没有任何的提醒?
笔者这里以谷歌和火狐两款浏览器来进行对比。
使用谷歌浏览器,拖拽添加正常的URL链接不会有任何的编辑提醒。
使用谷歌浏览器,拖拽添加恶意链接同样不会有任何的编辑提醒。
使用火狐浏览器如果添加正常链接不会有提醒。
使用火狐浏览器,如果添加恶意链接则会出现一个窗口提醒编辑确认保存。
由此可见在书签添加这方面火狐浏览器的处理安全性更高。
场景演示
演示采用的谷歌浏览器,在用户登录Web端Discord的前提下,假设受害者在钓鱼页面的指引下添加了恶意书签,在DiscordWeb端登录时,点击了该书签,触发恶意代码,受害者的Token等个人信息便会通过攻击者设置好的Discordwebhook发送到攻击者的频道上。
下面是演示受害者点击了钓鱼的书签:
下面是演示攻击者编写的JavaScript代码获取Token等个人信息后,通过DiscordServer的webhook接收到。
笔者补充几点可能会产生疑问的攻击细节:
1.为什么受害者点了一下就获取了?
通过背景知识我们知道,书签可以插入一段JavaScript脚本,有了这个几乎可以做任何事情,包括通过Discord封装好的webpackChunkdiscord_app前端包进行信息获取,但是为了防止作恶的发生,详细的攻击代码笔者不会给出。
2.为什么攻击者会选择Discordwebhook进行接收?
因为Discordwebhook的格式为
「https://discord.com/api/webhooks/xxxxxx」,直接是Discord的主域名,绕过了同源策略等问题,读者可以自行新建一个Discordwebhook进行测试。
3.拿到了Token又能怎么样?
拿到了Token等同于登录了Discord账号,可以做登录Discord的任何同等操作,比如建立一个Discordwebhook机器人,在频道里发布公告等虚假消息进行钓鱼。
总结
攻击时刻在发生,针对已经遭受到恶意攻击的用户,建议立刻采取如下行动进行补救:
1.立刻重置Discord账号密码。
2.重置密码后重新登录该Discord账号来刷新Token,才能让攻击者拿到的Token失效。
3.删除并更换原有的webhook链接,因为原有的webhook已经泄露。
4.提高安全意识,检查并删除已添加的恶意书签。
作为用户,重要的是要注意任何添加操作和代码都可能是恶意的,Web上会有很多的扩展看起来非常友好和灵活。书签不能阻止网络请求,在用户手动触发执行的那一刻,还是需要保持一颗怀疑的心。
本文到这边就结束了,慢雾安全团队将会揭露更多关于黑暗森林的攻击事件,希望能够帮助到更多加密世界的人。?
比特币的价格可能正在跌破4万美元,但最新数据显示,主要投资者的需求丝毫没有下降。链上分析平台CryptoQuant的首席执行官KiYoungJu认为,机构购买比特币可能再次成为加密领域的“大叙事”.
1900/1/1 0:00:00“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战,然而我们希望通过这样的努力让大家能够正确认知波卡.
1900/1/1 0:00:00??Ariva是一个旨在积极用于全球和当地旅游和旅游业的项目。它提供了一个全球旅行和旅游网络,用户可以通过过去的旅行经历、评论和加密货币预订与所有相关的服务提供商会面.
1900/1/1 0:00:00科技风险投资公司WhiteStarCapital的第二只数字资产基金(DAFII)获得了1.2亿美元的资金,用于投资加密网络以及处于早期阶段的区块链和Web3企业.
1900/1/1 0:00:00撰写:Jackchong.eth&0xkowloon.eth编译:TechFlowintern稳定币在加密货币的总市值中占了很大一部分,市场规模达到1800亿美元以上.
1900/1/1 0:00:00作者:MarioGabriele 编译:海外独角兽团队 AngelList是我们一直很欣赏的创新投资探索者.
1900/1/1 0:00:00