慢雾：浏览器恶意书签是如何盗取你的Discord Token的？

作者：耀@慢雾安全团队背景

区块链的世界遵循黑暗森林法则，在这个世界我们随时可能遭受到来自不明的外部攻击，作为普通用户不进行作恶，但是了解黑客的作恶的方式是十分必要的。慢雾安全团队此前发布了区块链黑暗森林自救手册，其中提到了不少关于针对NFT项目方的Discord进行攻击的手法，为了帮助读者对相关钓鱼方式有更清晰的认知，本文将揭露其中一种钓鱼方法，即通过恶意的书签来盗取项目方Discord账号的Token，用来发布虚假信息等诱导用户访问钓鱼网站，从而盗取用户的数字资产。钓鱼事件

先来回顾一起Discord钓鱼事件：2022年3月14日，一则推特称NFT项目WizardPass的Discord社区被者入侵，目前已造成BAYC、Doodles、CloneX等NFT被盗，详情如下：

慢雾: 警惕比特币RBF风险:据BitMEX消息，比特币于区块高度666833出现陈腐区块，并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看，双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]

慢雾：Cover协议被黑问题出在rewardWriteoff具体计算参数变化导致差值:2020年12月29日，慢雾安全团队对整个Cover协议被攻击流程进行了简要分析。

1.在Cover协议的Blacksmith合约中，用户可以通过deposit函数抵押BPT代币；

2.攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子，并使用accRewardsPerToken来记录累计奖励；

3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录；

4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押；

5.此时攻击者将第二次进行deposit，并通过claimRewards提取奖励；

6.问题出在rewardWriteoff的具体计算，在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory，此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值；

7.由于memory中获取的Pool值是旧的，其对应记录的accRewardsPerToken也是旧的会赋值到miner；

8.之后再进行新的一次updatePool时，由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小，所以最后获得的accRewardsPerToken将变大；

9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值，在进行rewardWriteoff计算时获得的值也将偏小，但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值；

10.因此在进行具体奖励计算时由于这个新旧参数之前差值，会导致计算出一个偏大的数值；

11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币，导致COVER代币增发。具体accRewardsPerToken参数差值变化如图所示。[2020/12/29 15:58:07]

书签在点击时可以像在开发者工具控制台中的代码一样执行，并且会绕过CSP策略。读者可能会有疑问，类似「javascript:()」这样的链接，在添加进入到浏览器书签栏，浏览器竟然会没有任何的提醒？笔者这里以谷歌和火狐两款浏览器来进行对比。使用谷歌浏览器，拖拽添加正常的URL链接不会有任何的编辑提醒。

声音 | 慢雾：ETDP钱包连续转移近2000 ETH到Bitstamp交易所，项目方疑似跑路:据慢雾科技反(AML)系统监测显示，自北京时间 12 月 16 日凌晨 2 点开始，ETDP 项目方钱包(地址 0xE1d9C35F…19Dc1C3)连续转移近 2000 ETH 到 Bitstamp 交易所，另有 3800 ETH 分散在 3 个新地址中，未发生进一步动作。慢雾安全团队在此提醒交易所、钱包注意加强地址监控，避免相关恶意资金流入平台。[2019/12/16]

使用谷歌浏览器，拖拽添加恶意链接同样不会有任何的编辑提醒。

动态 | 慢雾：9 月共发生 12 起较典型的安全事件，供应链攻击趋势愈发明显:过去的 9 月区块链生态共发生 12 起较典型的安全事件，包括：EOSPlay 遭受新型随机数攻击、资金盘项目 FairWin 智能合约权限管理缺陷、EOS 黑名单账号 craigspys211 利用新晋 BP 黑名单缺陷转移走 19.999 万枚 EOS 等典型安全事件。此外，慢雾区块链威胁情报(BTI)系统监测发现，针对区块链生态的供应链攻击越来越多，形如：去年 11 月慢雾披露的污染 NPM 模块 EventStream、今年 7 月披露的对数字货币钱包 Agama 构建链的攻击、今年 8 月披露的针对数字货币行情/导航站的 URL 劫持攻击，还有 9 月慢雾披露的针对交易所使用的第三方统计、客服 js 的恶意代码植入，进行实施盗币攻击。[2019/10/1]

使用火狐浏览器如果添加正常链接不会有提醒。

使用火狐浏览器，如果添加恶意链接则会出现一个窗口提醒编辑确认保存。

由此可见在书签添加这方面火狐浏览器的处理安全性更高。场景演示

演示采用的谷歌浏览器，在用户登录Web端Discord的前提下，假设受害者在钓鱼页面的指引下添加了恶意书签，在DiscordWeb端登录时，点击了该书签，触发恶意代码，受害者的Token等个人信息便会通过攻击者设置好的Discordwebhook发送到攻击者的频道上。下面是演示受害者点击了钓鱼的书签：

下面是演示攻击者编写的JavaScript代码获取Token等个人信息后，通过DiscordServer的webhook接收到。

笔者补充几点可能会产生疑问的攻击细节：1.为什么受害者点了一下就获取了？通过背景知识我们知道，书签可以插入一段JavaScript脚本，有了这个几乎可以做任何事情，包括通过Discord封装好的webpackChunkdiscord_app前端包进行信息获取，但是为了防止作恶的发生，详细的攻击代码笔者不会给出。2.为什么攻击者会选择Discordwebhook进行接收？因为Discordwebhook的格式为“https://discord.com/api/webhooks/xxxxxx”，直接是Discord的主域名，绕过了同源策略等问题，读者可以自行新建一个Discordwebhook进行测试。3.拿到了Token又能怎么样？拿到了Token等同于登录了Discord账号，可以做登录Discord的任何同等操作，比如建立一个Discordwebhook机器人，在频道里发布公告等虚假消息进行钓鱼。总结

攻击时刻在发生，针对已经遭受到恶意攻击的用户，建议立刻采取如下行动进行补救：立刻重置Discord账号密码。重置密码后重新登录该Discord账号来刷新Token，才能让攻击者拿到的Token失效。删除并更换原有的webhook链接，因为原有的webhook已经泄露。提高安全意识，检查并删除已添加的恶意书签。作为用户，重要的是要注意任何添加操作和代码都可能是恶意的，Web上会有很多的扩展看起来非常友好和灵活。书签不能阻止网络请求，在用户手动触发执行的那一刻，还是需要保持一颗怀疑的心。

标签：DISISCORDSCOMDIS币KISC价格ordi币总量SCOOBY

AVAX热门资讯