背景
區塊鏈的世界遵循黑暗森林法則,在這個世界我們隨時可能遭受到來自不明的外部攻擊,作為普通用戶不進行作惡,但是了解黑客的作惡的方式是十分必要的。
慢霧安全團隊此前發布了區塊鏈黑暗森林自救手冊
,其中提到了不少關于針對NFT項目方的Discord進行攻擊的手法,為了幫助讀者對相關釣魚方式有更清晰的認知,本文將揭露其中一種釣魚方法,即通過惡意的書簽來盜取項目方Discord賬號的Token,用來發布虛假信息等誘導用戶訪問釣魚網站,從而盜取用戶的數字資產。
釣魚事件
先來回顧一起Discord釣魚事件:2022年3月14日,一則推特稱NFT項目WizardPass的Discord社區被詐騙者入侵,目前已造成BAYC、Doodles、CloneX等NFT被盜,詳情如下:
DAZN和Misy將于秋季在NFT市場DAZN MOMENTS中啟動二級交易功能:7月29日消息,體育視頻分發服務商DAZN和Misy將于今年秋季在其體育NFT市場“DAZN MOMENTS”中啟動二級交易功能,二級市場的正式名稱是“Secondary Marketplace”,用戶可以買賣NFT。收益將兌換成“MIXI CASH”和日元支付到銀行賬戶。(Coinpost)[2022/7/29 2:46:36]
牽出其中一個解讀:
該解讀里說的bookmark就是瀏覽器書簽,這個書簽里的內容可以是一段JavaScript惡意代碼,當Discord用戶點擊時,惡意JavaScript代碼就會在用戶所在的Discord域內執行,盜取DiscordToken,攻擊者獲得項目方的DiscordToken后就可以直接自動化接管項目方的Discord賬戶相關權限。
美地方法官重申SEC必須在Ripple案中提供與前專員Hinman演講相關的材料:金色財經消息,美國地方法官Sarah Netburn本周重申,美國證券交易委員會(SEC)必須交出與前專員Bill Hinman在Ripple案中關于加密貨幣的演講有關的文件。作為SEC公司財務部的前任主任,Bill Hinman在2018年的一次演講成為雙方訴訟案的癥結所在。在這些言論中,Hinman解釋了為什么他不認為比特幣和以太坊是證券,Ripple一直在尋求獲取與演講相關的文件和通訊,而SEC認為該言論無關緊要,因為它構成了個人觀點,遲遲不愿公開相關材料,Sarah Netburn指出SEC使用相互矛盾的論點來拖延時間。[2022/7/14 2:11:47]
背景知識
以太坊網絡Gas費上升至59gwei:金色財經消息,據Etherscan數據顯示,當前以太坊網絡Gas費上升至59gwei。[2022/6/19 4:37:44]
要理解該事件需要讀者有一定的背景知識,現在的瀏覽器都有自帶的書簽管理器,在提供便利的同時卻也容易被攻擊者利用。通過精心構造惡意的釣魚頁面可以讓你收藏的書簽中插入一段JavaScript代碼,當受害者點擊書簽時會以當前瀏覽器標簽頁的域進行執行。
以上圖為例,受害者打開了discord
)();">2Hello,World!3</a>
書簽在點擊時可以像在開發者工具控制臺中的代碼一樣執行,并且會繞過CSP(ContentSecurityPolicy)策略。
福布斯:當前比特幣挖礦收入潛力已較去年峰值下降了約68%:金色財經報道,隨著加密貨幣走向熊市和比特幣挖礦難度持續上升,比特幣礦工的利潤率正在快速下降。據福布斯分析,當前比特幣挖礦收入潛力較 2021 年的峰值下降了約 68%,較 2021 年的平均水平下降了 58%。在過去一年中,26次比特幣挖礦難度調整中有18次難度增加,僅有4次難度下降。隨著比特幣挖礦盈利能力下降,大多數比特幣上市礦企跌幅超過60%(比如Riot、Core Scientific、Argo Blockchain、Cleanspark 等)。[2022/5/21 3:31:38]
讀者可能會有疑問,類似「javascript:()」這樣的鏈接,在添加進入到瀏覽器書簽欄,瀏覽器竟然會沒有任何的提醒?
筆者這里以谷歌和火狐兩款瀏覽器來進行對比。
使用谷歌瀏覽器,拖拽添加正常的URL鏈接不會有任何的編輯提醒。
使用谷歌瀏覽器,拖拽添加惡意鏈接同樣不會有任何的編輯提醒。
使用火狐瀏覽器如果添加正常鏈接不會有提醒。
使用火狐瀏覽器,如果添加惡意鏈接則會出現一個窗口提醒編輯確認保存。
由此可見在書簽添加這方面火狐瀏覽器的處理安全性更高。
場景演示
演示采用的谷歌瀏覽器,在用戶登錄Web端Discord的前提下,假設受害者在釣魚頁面的指引下添加了惡意書簽,在DiscordWeb端登錄時,點擊了該書簽,觸發惡意代碼,受害者的Token等個人信息便會通過攻擊者設置好的Discordwebhook發送到攻擊者的頻道上。
下面是演示受害者點擊了釣魚的書簽:
下面是演示攻擊者編寫的JavaScript代碼獲取Token等個人信息后,通過DiscordServer的webhook接收到。
筆者補充幾點可能會產生疑問的攻擊細節:
1.為什么受害者點了一下就獲取了?
通過背景知識我們知道,書簽可以插入一段JavaScript腳本,有了這個幾乎可以做任何事情,包括通過Discord封裝好的webpackChunkdiscord_app前端包進行信息獲取,但是為了防止作惡的發生,詳細的攻擊代碼筆者不會給出。
2.為什么攻擊者會選擇Discordwebhook進行接收?
因為Discordwebhook的格式為
「https://discord.com/api/webhooks/xxxxxx」,直接是Discord的主域名,繞過了同源策略等問題,讀者可以自行新建一個Discordwebhook進行測試。
3.拿到了Token又能怎么樣?
拿到了Token等同于登錄了Discord賬號,可以做登錄Discord的任何同等操作,比如建立一個Discordwebhook機器人,在頻道里發布公告等虛假消息進行釣魚。
總結
攻擊時刻在發生,針對已經遭受到惡意攻擊的用戶,建議立刻采取如下行動進行補救:
1.立刻重置Discord賬號密碼。
2.重置密碼后重新登錄該Discord賬號來刷新Token,才能讓攻擊者拿到的Token失效。
3.刪除并更換原有的webhook鏈接,因為原有的webhook已經泄露。
4.提高安全意識,檢查并刪除已添加的惡意書簽。
作為用戶,重要的是要注意任何添加操作和代碼都可能是惡意的,Web上會有很多的擴展看起來非常友好和靈活。書簽不能阻止網絡請求,在用戶手動觸發執行的那一刻,還是需要保持一顆懷疑的心。
本文到這邊就結束了,慢霧安全團隊將會揭露更多關于黑暗森林的攻擊事件,希望能夠幫助到更多加密世界的人。?
原文作者:MaryLiu比推消息,花旗銀行周四發布了一份長達184頁的「元宇宙與金錢——解密未來」研究報告。該報告詳述了以下十個關鍵要點:1.我們將在元宇宙中做什么?元宇宙可能是下一代互聯網.
1900/1/1 0:00:00Discord一定程度上改變了我們尋找Alpha項目的方式,如果你能運用恰當的方法,Discord能夠過濾市場中大部分噪音.
1900/1/1 0:00:00宇宙富豪Monopolon的目標是成為下一個領先的元宇宙鏈游和一個值得用戶花時間的體驗并通過玩游戲來賺取NFT的游戲.
1900/1/1 0:00:00原標題:以太坊2.0「合并階段」推遲至第三季度 撰文:茉莉 從PoW機制轉向PoS機制的以太坊合并已被推遲至今年的下半年,最早可能在第三季度.
1900/1/1 0:00:00撰文:GeorgiosKonstantopoulos,Paradigm研究合伙人 編譯:Amber 簡介 零知識密碼學是計算機科學領域在近50年間最引人注目的創新之一.
1900/1/1 0:00:00作者:MackenziePatel本文來自:Decrypt 譯者:念銀思唐 注:MackenziePatel是專門從事加密稅收和會計的注冊會計師。她是Figment的高級收入會計.
1900/1/1 0:00:00