驚!! Teahouse DC被駭始末

May 14, 2022

TL;DR : 5/13 10:20pm，Teahouse Discord的Mod權限被入侵，駭客以Teahouse Annoucement 的機器人發布空投消息。Teahouse社群與工作人員發現後開始刪文，排除webhook，重新建立身分組，於11:00pm清除完畢，並於5/14 02:00am 恢復所有Discord功能。目前確定有3個錢包地址受到攻擊，總共造成約3.5eth的損失，Teahouse將與受害者聯絡並協助取回NFT等資產。

入侵手法

Discord各NFT項目方的合作與AMA是一件非常活躍且天天在發生的事，駭客先假扮知名項目來散發合作訊息，如果Mod加入對方假的Discord以後，在伺服器中要求你掃QRCODE來verify，所有資訊(sneak-peek, roadmap)都在server裡，沒有注意的MOD就會直接掃描認証假的captcha，那駭客就會透過javascript取得Discord的權限就會透過collab.land的webhook發布假連結，希望人受騙去授權metamask的互動，進而奪取NFT。

如何排除

由於帳號都有2FA，入侵的手法並不能取得帳號本身，只能取得Discord server的權限，所以只要拿回主帳號權限後清理webhook，就能解決問題。入侵Discord的釣魚手法時有所聞，但是大量合作下不同Mod有不同的權限還是會讓歹徒有機會入侵。Discord合作還是一個非常有機會單點故障的機制，除了繼續培養出有經驗的Mod和不輕易點陌生連結，官方保持公開透明的構通還是能夠避免巨大損失。

同時，看到連結metamask授權時，使用者也應該保持警覺，可以觀察以下合約互動的範例，保持警戒。