Discord 是这两年流⾏起来的新型社交平台，聊天、群组这些基本功能都有，最核⼼的功能是⼀个个独⽴的社区服务器（不是传统理解的那种服务器），如官⽅说法：

Discord 致⼒于打造⼀个您与您的朋友、家⼈及社区交谈和闲逛的地⽅。在 Discord 上有数百万不同的社区，从⽼朋友组成的⼩群体到成千上万的⼈通过共同兴趣连接在⼀起的⼤型服务器。

看去美好，但实际上安全设计挑战也是很⾼的，官⽅也很努⼒，有专⻔的安全规则及政策说明,可惜，许多⼈不会去仔细阅读的。另外，官⽅也不⼀定都能把⼀些核⼼安全问题说清楚，因为有的安全问题必须站在攻击者⻆度才能点透。

下⾯点出其中⼀点。

Discord 上发⽣了这么多起 NFT 被盗案，请问其中的攻击技术要点是什么？如果这都没搞清楚，⼀堆 Discord 安全建议⽤处都不⼤。

不少项⽬⽅的 Discord 服务器被搞的技术要点是那个所谓的 Discord Token，实际上这个玩意是 HTTP 请求头⾥的authorization 字段内容。这玩意在 Discord 存在⾮常久了，对于⿊客来说，只要想办法拿到这个 Discord Token，即可⼏乎完全控制⽬标的 Discord 权限，也就是说，如果⽬标是管理员、有管理权限的⼈或机器⼈(Bot)，那么⿊客就可以⽤这些特权来作恶了。 

⽐如，发布 NFT 钓⻥⽹站，⼤家⼀看：官⽅发的公告，于是就⼀股脑⼉冲进钓⻥⽹站了...有⼈可能要问，我的 Discord 账号增加双因素(2FA)认证 OK 吗？绝对好习惯！但应对这个攻击是不⾏的！Discord Token ⽆视你是否开启了 2FA。如果你中招过，你应该⽴即更改 Discord 密码，这样 Discord Token 就会刷新变化了。 

⾄于⿊客是如何拿到这个 Discord Token 的，我们已经摸清楚⾄少三⼤⼿法了，后⾯找机会写清楚。对于普通⽤户来说，防御建议其实挺多的，核⼼要点是：不急不贪、多⽅验证。

返回目录     下一篇

#区块链个人安全黑手册 #比特币 #区块链安全