（来源： 官网，并在这个页面点击了之前收藏的恶意的书签“Hello,World!” 从而执行了一个弹窗语句，可以发现执行的源显示的是 做出的操作不应该在 /api/webhooks/xxxxxx”，直接是 Discord 的主域名，绕过了同源策略等问题，读者可以自行新建一个 Discord webhook 进行测试。

拿到了 Token 等同于登录了 Discord 账号，可以做登录 Discord 的任何同等操作，比如建立一个 Discord webhook 机器人，在频道里发布公告等虚假消息进行钓鱼。

攻击时刻在发生，针对已经遭受到恶意攻击的用户，建议立刻采取如下行动进行补救：

2. 重置密码后重新登录该 Discord 账号来刷新 Token，才能让攻击者拿到的 Token 失效。

4. 提高安全意识，检查并删除已添加的恶意书签。

作为用户，重要的是要注意任何添加操作和代码都可能是恶意的，Web 上会有很多的扩展看起来非常友好和灵活。书签不能阻止网络请求，在用户手动触发执行的那一刻，还是需要保持一颗怀疑的心。

本文到这边就结束了，慢雾安全团队将会揭露更多关于黑暗森林的攻击事件，希望能够帮助到更多加密世界的人。