MOSTRE/discord-exploit-research
GitHub: MOSTRE/discord-exploit-research
揭示 Discord 服务器被 0-day 自动化攻击的机理与防护建议。
Stars: 1 | Forks: 0
# Discord 服务器终止 0-Day — 研究与警告
我在看到多个大型 Discord 服务器被无故抹除后开始调查此事。我发现的情况确实令人警觉,因此公开此研究,提醒服务器所有者在 Discord 采取行动之前(截至今日,他们仍未采取任何行动)保护自身。
## 目录
1. [发生了什么](#whats-happening)
2. [时间线](#timeline)
3. [攻击如何运作](#how-the-attack-works)
4. [攻击向量](#attack-vectors)
5. [已知受害者](#known-victims)
6. [幕后黑手是谁](#whos-behind-it)
7. [为何 Discord 尚未阻止](#why-discord-hasnt-stopped-it)
8. [相关漏洞](#related-vulnerabilities)
9. [如何保护你的服务器](#how-to-protect-your-server)
10. [披露时间线](#disclosure-timeline)
11. [资料来源](#sources)
## 发生了什么
有人发现了一种方法,可以让 Discord 永久删除任意服务器——瞬间、自动、没有任何人工审核。服务器所有者的账户也会在同一时间被终止。没有警告,没有申诉途径。一切都消失了。
这并非需要数百个账号进行集体举报的攻击。这是一次单个请求即可触发 Discord 自身自动化安全系统的攻击。截至 2026 年 4 月 10 日,该漏洞**仍未修复**,并且正在 Telegram 上作为付费服务出售。
| | |
|---|---|
| **状态** | 已修复 |
| **首次出现** | 约 2026 年 3 月 28 日 |
| **受影响的服务器** | 已确认 100+ 个 |
| **发起攻击所需条件** | 目标服务器的有效邀请链接 |
| **购买攻击的成本** | 完整方法 8000 欧元;按服务器计费价格另议 |
## 时间线
| 日期 | 事件 |
|------|------|
| 约 2026 年 3 月 25–28 日 | 首次观察到,仅针对游戏作弊服务器 |
| 2026 年 3 月 30 日 | 一个拥有 230,000 名成员的 Discord 合作伙伴服务器被抹除 |
| 2026 年 4 月 1–4 日 | 攻击开始波及完全合法的服务器 |
| 2026 年 4 月 5 日 | 公开披露视频在 YouTube 发布 |
| 2026 年 4 月 10 日 | 仍未修复,Discord 未发布声明 |
## 攻击如何运作
### 第一步:获取邀请链接
攻击者只需要一件事:一个有效的服务器邀请链接。标准邀请链接(`discord.gg/XXXXXXXX`)或自定义域名(`discord.gg/yourcommunity`)均可。单独的服务器 ID 不足以发起攻击。
这一点很重要,因为**几乎每个公开服务器都曾在某处留下过邀请链接**——Google、Reddit、旧论坛、Telegram 群组等。找到一条只需几秒钟。
### 第二步:伪造报告元数据
这里开始变得有趣。攻击者并不会像平常那样举报你的服务器。他们会操纵报告请求的元数据,使 Discord 的系统相信该邀请链接与**儿童性虐待材料(CSAM)**有关联。
他们并没有真正改变你的服务器内容。他们只是欺骗 Discord,让系统在验证之前“看到”链接指向的是非法内容。
### 第三步:Discord 的自动化流程完成其余操作
像 Discord 这样的平台在处理 CSAM 报告时有法律义务立即响应——不能延迟,也不能排队等待人工审核。系统设计目标是在数秒内采取行动以规避法律责任。
因此,一旦这条伪造的报告进入处理管道,Discord 自身的安全自动化机制会立即终止服务器。没有人工检查,Discord 员工在执行前也不会进行审核。服务器消失了,而在大多数情况下,所有者的账户也被同时终止——这意味着根本没有账户可以留下用于申诉。
## 攻击向量
### 邀请链接暴露面
你服务器历史上使用过的每一个邀请链接都可能成为攻击向量。多年前在 Reddit 帖子、Telegram 群组、Discord 目录中分享的链接仍然有效。自定义域名尤其危险,因为它们永久存在、易于记忆且被广泛分享。
### 报告 API
该漏洞很可能是通过操纵向 Discord 报告提交端点发送的 HTTP 请求来利用的。可能的机制包括:
- 在报告请求体中**注入元数据**
- **Open Graph / 嵌入伪造**——Discord 在处理报告时会获取链接预览;在那之前投毒该预览可能使后端“看到”与实际不同的内容
- **链接预览缓存投毒**——在提交报告前获取一个恶意嵌入并将其缓存到邀请 URL 上
- **SSRF**——欺骗 Discord 服务器在解析被报告 URL 时获取攻击者控制的内容
我有意不深入更多细节。本文档的目标是防御与意识提升,而非提供攻击手册。
### Discord 的 CSAM 管道作为武器
真正的问题在于,一个用于合规的法律工具变成了攻击本身。攻击者并未入侵 Discord。他们是利用 Discord 自身的行为来摧毁社区——使用一个原本设计用于保护儿童的系统对抗无辜的社群。
```
CURRENT (BROKEN) FLOW:
Attacker submits report with spoofed metadata
↓
Discord's report API receives it
↓
Automated system reads metadata
↓
Detects CSAM signal
↓
Instant server + account termination <- NO VERIFICATION
WHAT IT SHOULD LOOK LIKE:
Attacker submits report with spoofed metadata
↓
Discord's report API receives it
↓
Automated system reads metadata
↓
Detects CSAM signal
↓
Discord independently fetches and analyzes the actual URL content
↓
Secondary verification (automated hash check or human review)
↓
Decision made — owner notified — appeal window opened
```
## 已知受害者
| 服务器 | 成员数 | 时间 | 被针对原因 |
|--------|--------|------|-----------|
| discord.com/servers(合作伙伴) | 230,000 | 2026 年 3 月 30 日 | 未知 |
| LL Tweaks(PC 优化) | 未知 | 2026 年 4 月 | 疑似自定义域名劫持 |
| Cyber Design(平面设计) | 未知 | 2026 年 4 月 | 疑似自定义域名劫持 |
| Sash Mood | 未知 | 2026 年 4 月 | 疑似自定义域名劫持 |
| Hood(角色扮演) | 未知 | 2026 年 4 月 | 疑似自定义域名劫持 |
| 未命名(3 个服务器,一个所有者) | 约 40,000+ 总计 | 2026 年 4 月 5 日 | 针对性骚扰 |
活跃终止服务器追踪器:`undetected.cc/takedowns`
## 幕后黑手是谁
该漏洞源自**游戏外挂圈**——具体来说是那些希望摧毁竞争对手作弊服务器的人。一旦确认该方法对任何服务器(而不仅仅是违反服务条款的服务器)都有效,他们便开始将其货币化。
目前它通过两种方式在 Telegram 上出售:
- **完整方法**:一次性 8000 欧元
- **作为服务**:价格取决于服务器规模;你只需付款,他们执行
出售这些攻击的人非常小心,避免针对与 Discord 员工有直接联系的服务器。他们知道如果击中错误目标,方法会在当晚被修复,并可能引来执法部门。他们在刻意操作。
目前观察到的动机包括:
- 窃取服务器的自定义域名并据为己有
- 消除竞争对手( rival gaming communities, rival cheat providers)
- 纯粹骚扰
- 向客户出售该攻击服务
## 为何 Discord 尚未阻止
核心问题在于架构设计。Discord 对严重内容报告的自动化终止系统**在执行永久、不可逆操作前没有任何验证步骤**。它信任报告者的元数据,而不会独立确认被报告的内容确实存在。
要妥善修复此问题,Discord 需要:
- [ ] 在根据元数据主张采取行动前,**独立获取并验证**任何被报告 URL 的内容
- [ ] 对实际获取的内容运行适当的 CSAM 哈希校验(如 PhotoDNA 等)——而非仅依赖报告中的描述
- [ ] 在永久删除服务器前,**要求人工审核或至少进行第二次自动化确认**
- [ ] 在终止前**通知服务器所有者并给予响应宽限期**
- [ ] 将“终止服务器”与“终止所有者账户”决策**分离**——这两者不应是一个自动动作
- [ ] 标记曾触发过终止操作的账户
## 相关漏洞
### 已过期邀请链接劫持 —— Check Point Research(2025 年 6 月)
攻击者会在社区让邀请链接过期后重新注册这些代码。Discord 的 UI 对某些链接错误地显示“永不过期”。链接过期后,攻击者获取该代码并将其用于重定向用户至分发 AsyncRAT 和 Skuld Stealer(一种窃取加密钱包凭证)的恶意服务器。截至 2026 年 4 月,该问题仍然存在。
### CVE-2026-24332 —— 隐形状态泄露(2026 年 1 月)
Discord 的 WebSocket API 泄露了是否将状态设为“隐身”。API 在 `presences` 数组中将“隐身”用户以 `"status": "offline"` 的形式包含进来,而不是完全省略,从而可能枚举出谁正处于隐藏状态。
### 第三方支持供应商泄露(2025 年 10 月)
攻击者入侵了一个 Discord 客户支持供应商,获取了此前联系过 Discord 支持或 Trust & Safety 团队的用户数据。Discord 撤销了该供应商的访问权限并引入了取证公司。
### 1.5 TB 用户数据泄露(2025 年 11 月)
另一个供应商泄露了约 1.5 TB 的 Discord 用户数据,包括政府身份证件和用于账户恢复的面部扫描。这些数据最终在暗网市场流通。
### Persona(年龄验证供应商)前端泄露(2026 年 2 月)
Discord 的年龄验证 rollout 依赖一家名为 Persona 的供应商。研究人员发现 Persona 将一个内部前端暴露在一台政府授权服务器上,可能泄露了提交面部扫描进行年龄验证的用户的生物识别数据。Discord 推迟了全球 rollout。
## 如何保护你的服务器
**现在就执行——不要等待。**
**1. 删除所有邀请链接**
服务器设置 → 邀请 → 删除全部。旧的、新的,全部删除。这会彻底移除攻击面。
**2. 禁止成员创建邀请**
服务器设置 → 角色 → `@everyone` → 禁用“创建邀请”。对其他默认角色执行相同操作。
**3. 如果你有自定义域名,请删除它**
我知道这很痛,但自定义域名可被发现、永久存在且易于共享,使你成为更容易的目标。服务器设置 → 概览 → 删除自定义域名。
**4. 清理机器人权限**
检查所有机器人,移除不需要的“管理服务器”和“创建邀请”权限。
**5. 备份服务器结构**
使用 Xenon 或类似备份机器人对频道、角色和设置进行快照。如果发生意外,至少可以重建。
**如果你仍需要用户加入服务器:**
部分所有者正在转向 Discord OAuth2 机器人流程——用户授权机器人后直接加入,无需邀请链接。这可行,但仅在你清楚后端实现的情况下使用。设计不当的 OAuth 系统可能泄露用户 IP、邮箱和令牌。
## 披露时间线
| 日期 | 事件 |
|------|------|
| 2026 年 4 月 5 日 | 公开披露视频在 YouTube 发布 |
| 2026 年 4 月 10 日 | 本研究在 GitHub 上由 Zoubaire 发布 |
| 待定 | 等待 Discord 响应或修复 |
## 资料来源
1. 原始披露视频 — https://www.youtube.com/watch?v=NZNBwzID-CI(2026 年 4 月 5 日)
2. 终止服务器追踪器 — https://undetected.cc/takedowns
3. Check Point Research — 已过期邀请链接劫持 — https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/(2025 年 6 月)
4. SentinelOne — CVE-2026-24332 — https://www.sentinelone.com/vulnerability-database/cve-2026-24332/(2026 年 1 月)
5. Discord — 供应商泄露声明 — https://discord.com/press-releases/update-on-security-incident-involving-third-party-customer-service(2025 年 10 月)
6. Hoplonn InfoSec — 1.5 TB 数据泄露 — https://hoploninfosec.com/discord-data-breach(2025 年 11 月)
7. Malwarebytes — Persona 暴露 — https://www.malwarebytes.com/blog/news/2026/02/age-verification-vendor-persona-left-frontend-exposed(2026 年 2 月)
8. GitHub — CVE-2026-Discord — https://github.com/NiceTop1027/CVE-2026-Discord
9. EFF — Discord 年龄验证 — https://www.eff.org/deeplinks/2026/02/discord-voluntarily-pushes-mandatory-age-verification-despite-recent-data-breach(2026 年 2 月)
## 免责声明
本文档所有内容均来自公开的安全披露。发布此文档的目的是警告他人并向 Discord 施加压力以修复漏洞——而非协助任何人实施攻击。文中不包含任何可用的漏洞利用代码或具体的 API 载荷。
*作者:Zoubaire — 2026 年 4 月 10 日 — 状态:等待 Discord 响应*
标签:0day, 2026, Discord, Discord服务器, SEO, Telegram, 信息泄露, 库, 应急响应, 拒绝服务, 攻击分析, 数字取证, 服务器终止, 未修复漏洞, 游戏作弊, 滥用流水线, 社会工程, 网络安全, 自动化攻击, 自动化脚本, 防护指南, 隐私保护