原文標題:《全面解析Discord安全問題》?
最近看到Discord的安全問題頻發,近期本人也從Discord的普通用戶,轉變到Discord社區的運營者,同時也成為了Discord生態上的開發者,所以本文就以Discord的安全作為主題給大家分享一下Discord上有關安全的問題。
實際上Discord的安全問題被詬病已久,但這也不能完全責怪Discord,因為Discord實在是太開放了,就像最初的Android一樣,任何一個APP都可以拿到幾乎系統的所有權限,所以任何一個APP有安全風險,那么整個系統都會有安全風險。上面說到Discord的三個角色,任何一方未對安全引起重視也都會導致安全問題。
安全無小事,希望這篇文章能夠幫助到以上三個角色的讀者們。
對于普通用戶
Discord上的用戶遭受損失主要是因為Discord上的釣魚網站信息太多了,所以對于普通用戶來說,為了避免被釣魚,需要注意以下幾點:
關閉私信
關閉私聊
該選項如果打開的話,Discord的成員可以直接向你發起私聊,而這些成員的頭像以及賬號也許會與你在Discord里看到的管理員一模一樣,這時你也許就會放松警惕而輕信這個賬號,所以當他們發送某個鏈接給你的時候也許你就被釣魚成功了。
WazirX聯合創始人Siddharth Menon與Web3游戲平臺Tegro分道揚鑣:金色財經報道,WazirX 聯合創始人 Siddharth Menon 已經與 Web3 游戲平臺 Tegro 分道揚鑣。根據此前相關報道顯示,Siddharth Menon 今年二月宣布與游戲開發商 SuperGaming 達成合作共同推出 Web 3 游戲平臺 Tegro,但之后SuperGaming 和 Siddharth Menon 之間開始出現分歧,后者對于 Tegro 融資和技術相關工作感到沮喪。不過據 SuperGaming 一位發言人稱,SuperGaming 和 Tegro 之間沒有發生“分手”,目前正在進行重組以確保更順暢的運營。(entracker)[2022/10/3 18:38:39]
另外好友請求也需要注意,最近我在OpenSea的Discord里問了個問題,結果也是頭像和賬號和Discord管理員一模一樣的賬號來請求加好友,這種情況直接忽略就好。
不要點擊任何未知鏈接
這個截圖是OpenSea官方的Discord中的消息,大意是說OpenSea要和YouTube合作發行NFT,只有100個免費名額。小白用戶看到這個消息可能立馬FOMO了,點擊截圖中的鏈接后,看到的網站大概長這樣。
前高盛高管Raoul Pal為Web3技術咨詢公司ScienceMagic.Studios聯創:7月3日消息,前高盛高管Raoul Pal在推特上表示,自己聯合創辦了Web3技術咨詢公司ScienceMagic.Studios,并介紹稱:我們的使命是將世界上最大的文化社區音樂、時尚、電影/書籍/電視特許經營權和體育——代幣化,利用NFT、社交代幣和元宇宙來構建社區、實用性和體驗。全球企業的資產負債表上有63萬億美元的無形資產。代幣化將品牌和社區變成有形的事物,并與社區共享實用性和網絡。這可能是很長一段時間內商業模式的最大變化。
Pal進一步補充道:我們已經暗示這一點很長時間了。這是Web 3中最大的機會之一,幫助大品牌以正確的方式進入Web 3創造性地、謹慎地、一絲不茍地。我們已經在和一些知名人士/品牌洽談了。
此前6月14日消息,ScienceMagic.Studios宣布完成1000萬美元Pre-Seed輪融資, Coinbase Ventures、Digital Currency Group(DCG)和億萬富翁對沖基金經理Alan Howard參投。
該公司由前Guardian Media Group首席執行官David Pemsel領導,致力于為品牌提供如何利用NFT和社交代幣等Web3技術的建議,以增加與粉絲和社區的互動。(Crypto Globe)[2022/7/3 1:47:27]
Web3社交網絡Showtime宣布上線移動端App(測試版):3月30日消息,Web3社交網絡Showtime宣布移動端App上線測試,目前已支持iOSTestFlight端和Android端版本下載。用戶可以在Polygon上零Gas費創建一個NFT,并瀏覽熱門創作者,分享自己收藏的NFT等。[2022/3/30 14:27:52]
看到域名和網站都沒問題,想到只有100個名額,也許就趕緊點Claim搶Mint了,但執行了該交易之后你的NFT也就丟了。
所以看到這種消息千萬需要提高警惕,一般來說各個項目方發行NFT的話都會提前發布消息,這種突然告訴你要發布NFT的消息一般都是假的。
如何判斷釣魚網站
有時候在Discord里看到無論是誰發來的鏈接,在點擊之前首先需要看訪問的域名是不是項目官方的域名,如果不是的話點擊進入后就需要十分警惕:
如果該網站喚起MetaMask的彈窗只是要求查看你的錢包地址,是安全的,例如下圖:
該操作只是授權該網站查看你的錢包地址,不會對你的資產有其他操作。
當你繼續在該網站上瀏覽,需要進行錢包相關操作的時候就需要特別留意了,一般網站喚起你的MetaMask總共有如下幾個操作類型:
虎符創新區今日新增Coinweb:據官方公告,虎符已于2022年1月4日12:00(UTC+8)在創新區上線Coinweb(CWEB),目前已開放CWEB/USDT交易及充提業務。
據悉,Coinweb是一個L2跨鏈計算平臺,旨在打造一個提供互操作性,通過InChain加購作為核心,使得Coinweb的Dapps能夠提供更多全新的解決方案。[2022/1/4 8:25:09]
轉賬
如果網站喚醒的是截圖上的轉賬請求,你需要注意轉賬的目標地址是不是你希望轉出的地址,以及轉賬的金額是否正確。
對于轉賬來說比較簡單,只要確定收款地址和金額就好了。
簽名
一般來說獲取簽名的目的是為了證明你擁有該錢包地址,例如Discord里有個叫Collabland的機器人,它就是通過簽名來驗證你擁有該錢包地址,并且該錢包地址上擁有該NFT,驗證通過后就會給你一個Holder身份認證。
火幣研究院:IPFS將引領Web3.0時代存儲變革:7月24日晚8點,火幣研究院直播欄目《洞若觀火的研究員》正式上線,本次直播首秀主題為“區塊鏈行業最強智庫天團——火幣研究院巔峰成團夜”。
在《IPFS的征途和遠方:Web3.0時代存儲變革》環節,火幣研究院對于IPFS概念、背景、技術基石、Web3.0時代存儲變革進行了深入分析。詳情點擊原文鏈接。[2020/7/24]
如果大家看到的簽名內容是這種明文可讀的就沒有什么問題了,你能看明白這段話是什么意思。但注意胡亂簽名也是會導致資產損失。
但如果大家看到的簽名內容如上面這個截圖,看不明白是什么,就別操作了。因為上面這個彈窗的簽名內容是OpenSea的賣單簽名,但賣單的價格可能被攻擊者設置為0.001E,如果你不小心在釣魚網站對此簽名了,你的NFT可能就會被低價賣給釣魚者。
所以對于簽名消息有一個大致原則,看得懂就簽,看不懂就別簽。
合約調用
大家在很多網站上遇到更多的情況是合約調用,例如mintNFT之類的操作等。
如果是合約調用,首先需要確定的是調用的「合約地址」是不是官方公布的合約地址,確定合約地址沒問題之后再看調用該合約的「功能類型」,如果「調用功能」類型顯示approve、setApprovalForAll、transfer、safeTransferFrom之類的字樣就需要警惕了,因為這是給出授權讓別人可以轉移走你的資產,這也是最常見的釣魚方式。
前文所說的OpenSea的Discord被攻擊發出的釣魚網址,以及本人下面推特分享的案例都是這種方式。
所以對于合約調用的總體原則就是:確認合約地址正確,確認操作類型不是approve、setApprovalForAll、transfer、safeTransferFrom等字樣。
對于運營者
對于大部分場景做到以上,普通用戶就可以避坑了,但是作為Discord的運營者,我們需要比普通用戶更盡責地保護社區成員的安全,避免因為運營者的安全疏忽導致用戶的損失。對于Discord的運營者,也有以下幾點需要注意的:
開啟2FA
沒有開啟2FA的話,一旦賬號密碼泄漏,那么攻擊者就可以利用管理者的賬號發布釣魚信息。
別點陌生鏈接
目前發現有針對于Discord管理者釣魚的網站,管理者進入網站被引導后會讓攻擊者得到管理者的Discordsession,攻擊者利用session就可以繞開2FA及登陸驗證,直接以管理員的身份接管Discord社區了。下面推文有詳細分析,感興趣的朋友可以看看。
盡量少引入Bot
為社區每增加一個Bot,就會帶來多一分的安全風險,任何一個Bot被攻擊者利用了,都能夠對社區的Discord發起SCAM攻擊。
Crepto社區只引入了一個外部Bot,CollabLand,用于驗證holder的身份,畢竟已經是Discord標配了。其他Bot如果不是必須使用的話,Crepto社區也就不再引入了。
引入Bot權限過大
Discord管理員引入Bot的時候,需要注意Bot索取的服務器權限,秉持最小授權原則,如果發現一個功能簡單的Bot要求管理員權限的話,最好不要引入。因為這個Bot的項目方如果被攻擊,輕則只是給您的Discord社區發送垃圾消息,重則它可以剔出所有用戶,刪除所有頻道和記錄。
上面是引入CollabLandBot時索取服務器的權限,CollabLandBot要求授權的是「管理員」這個最高權限。CollabLandBot的作用是給通過認證了的holder授予了某個角色,實際上CollabLandBot只需要索取管理Member和Role的權限就足夠了,但不知道為何索要了最高權限?也希望知道的朋友告知一下。
所以對于Discord的管理者來說,Discord的安全主要在于:
-管理者賬號的安全?
-Bot的安全
管理者賬號的安全可以由團隊提升安全意識來保證,但Bot的安全對于管理者來說卻無能為力,所以管理者只能是秉持能少用Bot就少用,能少給授權就少給的原則來處理即可。
對于開發者
Crepto社區已經開發了兩款DiscordBot,也算是對Discord的開發有所了解。所以對于在Discord上進行開發的朋友們,也給出了以下幾點安全建議:
Bot的Token一定要保證安全
Discord的開發者都知道,Bot的生命線就掌握在Token上,Token被攻擊者拿到之后,攻擊者可以利用你的Bot干他想干的任何事情,所以千萬需要像重視錢包私鑰安全那樣去重視Bot的Token。
運行Bot的服務器安全
服務器安全的話題可以無限展開,但這里就提醒一點,BotToken的安全十分重要,Bot是在服務器上運行的,所以服務器被攻破意味著Token也泄漏了,當然還有Bot所獲取Discord上的所有數據也全泄漏了。
養成定期更換Token的習慣
就跟一些網站定期要求用戶更換密碼一樣,雖然Discord沒有強制要求開發者定期更換Bot的Token,但我認為養成定期更換Token是必不可少的,特別是你的Bot用戶數量多的時候。
Bot按需索取權限
千萬別無腦索取Discord服務器的「管理員」權限,確認你的Bot需要用到哪些功能,再去索取相應的權限。這樣即便你的Bot被黑,那么受損程度也被控制在一定范圍之內。
對于開發者的總體原則就是保證BotToken的安全,以及最小索取你的Bot權限。
金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.
1900/1/1 0:00:003月以來,顯卡價格較去年末最大降幅超過37%。我們認為,顯卡降價的主因可能是以太坊挖礦需求走低,而這與年內即將發生的以太坊“合并”直接相關.
1900/1/1 0:00:001.Terra消亡史:從UST的興衰中看到什么Terra將被銘記為2020年加密貨幣牛市的典范。它從一個不起眼的實驗性穩定幣開始.
1900/1/1 0:00:00親愛的金色財經用戶: 由金色財經孵化的「金色數藏META」數藏平臺,將于2022年5月17日-27日開展「520,來金色Pick你的數藏女神」活動,參與即有機會獲得神秘數字藏品.
1900/1/1 0:00:00摘要: 近期,虛擬貨幣市場迎來暴跌,市值曾經排名第三的露娜因被做空,價格已經無限歸零,其余各類主流虛擬貨幣都有著較大的波動,于是又一批茁長生長的韭菜開始冒頭.
1900/1/1 0:00:00加密貨幣和穩定幣沒落之后,NFT會發生什么?什么將推動NFT強勢回歸。不可替代代幣的批評者長期以來一直警告說,當前的NFT狂熱是暫時的。目前,有越來越多的證據支持他們的說法.
1900/1/1 0:00:00