近年来，区块链技术的快速发展带动了许多平台的兴起，其中 Discord 凭藉其灵活设置和多功能性，成为加密货币、NFT 和去中心化应用 (DApps社群的重要交流平台。吸引用户追踪空投资讯和早期投资机会。然而机会与风险并存，一些投机者利用 Discord 诈骗，透过社交工程和钓鱼攻击窃取用户资金和个资，让 Discord 成为了投资机会与潜在风险并存的平台。

今 (9/4) 资安团队慢雾创办人转发贴文，内容为骇客吸引用户添加浏览器恶意标签，并窃取用户的Discord Token(建立帐户时产生的Discord 使用者名称和密码的加密)，让用户的帐号被控制。

截至 2024 年，Discord Token 窃取事件持续增长。根据报告， Discord 资安事件在过去一年增长了 140，其中 Token 窃取为主要问题。还有另一起值得关注的事件中，骇客透过 GnusAI 的 Discord 频道窃取私密资讯，进而利用铸币漏洞，导致损失达 127 万美元。

(空投潮惹祸！Discord钓鱼攻击半年内暴增，逾九成受害者竟是18岁以下儿童？)

Table of Contents

Toggle补充可能让人产生疑问的攻击细节建议受害者应立刻采取以下行动补救常见的 Discord Token 攻击方式：

而本次会引用资安团队慢雾的概念，和读者说明 Discord Token 的漏洞，并且揭露骇客如何利用浏览器的恶意书签中盗取用户的 Discord Token。

使用浏览器的恶意书签钓鱼，盗取Discord Token

时间倒转到 2022 年，一则在 X 关于 NFT 专案 Wizard Pass 的 Discord 群组被骇客入侵，造成 BAYC、Doodles、Clone X 等 NFT 被盗取。

Original Source https//twittercom/SerpentAU/status/1503232270219431941

而贴文出来后，底下有人回复

广告 内文未完请往下卷动

回复里说到：Bookmark 是浏览器如 Google Chrome中的书签，书签内容可以包含 JavaScript 程式码。当 Discord 用户点击后，恶意程式会在 Discord 上执行，盗取 Token。骇客取得 Token 后，便能轻易控制专案的 Discord 帐户及权限。

慢雾实际拆解案例下图为例，受害人打开了 Discord 官网，并在这个页面点击了之前收藏的恶意书签HelloWorld!，同时弹出一个小视窗，可以发现执行来源是 discordcom。

浏览器有同源政策来防止不同网域之间的操作相互影响，因此不属于 discordcom 的操作就不该影响其页面。然而，书签可绕过这个限制，因为它执行的是使用者触发的 JavaScript 程式码，让恶意程式得以在 discordcom 上执行，威胁帐户安全。而点进去后发现，有危机意识的读者应该会发现这个网址是有问题的。另外一个手法是，直接诱导使用者将页面收藏拖曳到书签栏当中红色方框 Drag this to your bookmarked。把某个连结拖到书签栏，就能新增书签。如果钓鱼的文案写得够吸引人，很容易让危机意识不足的使用者上当。

实现这个功能只需要建立一个 a 标签。以下是范例程式码：

点击书签时可以像在网页后台程式码一样执行，还会绕过内容安全策略Content Security Policy。

利用 Google 和 FireFox 浏览器进行对比

读者可能会疑惑，像是javascript()这样的连结，加入到浏览器的书签栏时，为什么浏览器没有任何提醒？

而慢雾会以 Google Chrome 和 Firefox 这两款浏览器来进行对比。

以 Google 为例

左边是拖曳正常的 URL 网址变成书签时，浏览器不会跳出任何编辑提醒。

Bitcoin官网入口

而右边是拖曳恶意网址也同样不会提醒。

那 FireFox 呢？

左边是拖曳正常的 URL 网址和 Google 浏览器相同，也不会跳出任何编辑提醒。

反倒右边，是拖曳恶意网址时，FireFox竟会跳出提醒，让用户确认。

代表 FireFox 针对添加书签这方面安全性较高。

慢雾使用 Google 浏览器示范，假设使用者已登入网页版 Discord，并在钓鱼网站引导下加入恶意书签。

当他点击书签后，就会触发恶意程式码，使用者的 Token 等个资会透过骇客设定的 Discord webhook ，再传送到骇客的频道。

补充可能让人产生疑问的攻击细节建议受害者应立刻采取以下行动补救立刻重设 Discord 帐号密码。重设密码后，重新登入 Discord 并刷新 Token，这样骇客手上的 Token 才会失效。删除并更换原有的 webhook 连结，因为旧的 webhook 已经外泄。提高安全意识，检查可疑书签并删除已加入的恶意书签。

而如果对慢雾针对区块链钓鱼诈骗等资安问题感到有兴趣，并且想从技术出发的读者，可以参考慢雾的区块链黑暗森林自救手册。

我们也必须保持警觉，谨慎使用或添加任何的程式码，以及来路不明的连结。网路上有许多看起来很方便且实用的扩充功能，但书签无法拦截恶意行为，因此每次手动执行时，都应该保持谨慎，以免遭到骇客入侵。

衍伸阅读