原文标题:《全面解析Discord安全问题》?
最近看到Discord的安全问题频发,近期本人也从Discord的普通用户,转变到Discord社区的运营者,同时也成为了Discord生态上的开发者,所以本文就以Discord的安全作为主题给大家分享一下Discord上有关安全的问题。
实际上Discord的安全问题被诟病已久,但这也不能完全责怪Discord,因为Discord实在是太开放了,就像最初的Android一样,任何一个APP都可以拿到几乎系统的所有权限,所以任何一个APP有安全风险,那么整个系统都会有安全风险。上面说到Discord的三个角色,任何一方未对安全引起重视也都会导致安全问题。
安全无小事,希望这篇文章能够帮助到以上三个角色的读者们。
对于普通用户
Discord上的用户遭受损失主要是因为Discord上的钓鱼网站信息太多了,所以对于普通用户来说,为了避免被钓鱼,需要注意以下几点:
关闭私信
关闭私聊
该选项如果打开的话,Discord的成员可以直接向你发起私聊,而这些成员的头像以及账号也许会与你在Discord里看到的管理员一模一样,这时你也许就会放松警惕而轻信这个账号,所以当他们发送某个链接给你的时候也许你就被钓鱼成功了。
Web3支付服务平台Alchemy Pay集成可扩展区块链IoTeX:金色财经报道,Web3支付服务平台Alchemy Pay宣布集成可扩展区块链IoTeX,使开发人员和 dApp 能够顺利集成支付提供商的服务功能,有助于国际客户通过他们喜欢的支付方式和国内货币购买和交换加密货币。在与包括支付巨头万事达卡MasterCard和Visa在内的支付平台整合后,目前Alchemy Pay业务已经遍及近 173 个国家且兼容Apple Pay 和 Google Pay。(cointrust)[2023/5/23 15:21:17]
另外好友请求也需要注意,最近我在OpenSea的Discord里问了个问题,结果也是头像和账号和Discord管理员一模一样的账号来请求加好友,这种情况直接忽略就好。
不要点击任何未知链接
这个截图是OpenSea官方的Discord中的消息,大意是说OpenSea要和YouTube合作发行NFT,只有100个免费名额。小白用户看到这个消息可能立马FOMO了,点击截图中的链接后,看到的网站大概长这样。
Binance.US将在Polygon上提供品牌Web3域名:金色财经报道,根据官方公告,Binance.US宣布与Web3域名提供商Unstoppable Domains合作,在Polygon上提供品牌.BinanceUS地址。Unstoppable Domains表示,.BinanceUS域名将在未来几周内通过交易所的应用程序独家提供,Unstoppable还将首次为BinanceUS客户发行两位数的域名,例如14.BinanceUS或23.BinanceUS。
Unstoppable Domains的首席运营官兼业务发展主管SandyCarter表示,人们可以立即注册.BinanceUS等候名单,我们预计将在未来几周内开始推出这些域名,目前还没有具体日期,但我们会及时通知社区。[2023/4/27 14:29:24]
看到域名和网站都没问题,想到只有100个名额,也许就赶紧点Claim抢Mint了,但执行了该交易之后你的NFT也就丢了。
所以看到这种消息千万需要提高警惕,一般来说各个项目方发行NFT的话都会提前发布消息,这种突然告诉你要发布NFT的消息一般都是假的。
如何判断钓鱼网站
有时候在Discord里看到无论是谁发来的链接,在点击之前首先需要看访问的域名是不是项目官方的域名,如果不是的话点击进入后就需要十分警惕:
如果该网站唤起MetaMask的弹窗只是要求查看你的钱包地址,是安全的,例如下图:
阿里巴巴集团副总裁、全球速卖通总经理张凯夫将转岗负责Web3:金色财经报道,阿里巴巴集团副总裁、全球速卖通总经理张凯夫(花名:凯夫)将转岗负责Web3,目前,凯夫的组织架构关系尚未调整,名义上仍是向蒋凡汇报。凯夫曾长期领导淘宝商家与行业线,是蒋凡旧部,与平畴(汤兴)、吹雪(杨光)、家洛(刘博)并称为“大淘宝四大金刚”。目前,凯夫转岗的原因暂不明朗,外界猜测或许跟速卖通业务发展不顺有关。[2023/3/2 12:37:44]
该操作只是授权该网站查看你的钱包地址,不会对你的资产有其他操作。
当你继续在该网站上浏览,需要进行钱包相关操作的时候就需要特别留意了,一般网站唤起你的MetaMask总共有如下几个操作类型:
转账
如果网站唤醒的是截图上的转账请求,你需要注意转账的目标地址是不是你希望转出的地址,以及转账的金额是否正确。
对于转账来说比较简单,只要确定收款地址和金额就好了。
签名
一般来说获取签名的目的是为了证明你拥有该钱包地址,例如Discord里有个叫Collabland的机器人,它就是通过签名来验证你拥有该钱包地址,并且该钱包地址上拥有该NFT,验证通过后就会给你一个Holder身份认证。
?Magic Eden将在3月份推出一系列免费的Web3游戏:金色财经报道,NFT市场Magic Eden将在3月份推出一系列免费的Web3游戏,这次发布被称为“Mint Madness”,这是致敬被称为“March Madness”的NCAA大学篮球锦标赛,该平台总共将免费推出13款横跨以太坊、Solana和Polygon区块链的Web3游戏。为了提高参与度,Magic Eden将在其社交媒体渠道上发布Mint Madness系列顶级NFT交易者的排行榜。Polygon系列交易量排名前10位的交易员将进入20,000MATIC(约合25,500美元)的奖池,第一名获胜者将获得4,500MATIC(约合5,400美元)的奖金。[2023/3/2 12:37:24]
如果大家看到的签名内容是这种明文可读的就没有什么问题了,你能看明白这段话是什么意思。但注意胡乱签名也是会导致资产损失。
Web3初创公司Spindl完成700万美元融资:金色财经报道,总部位于迈阿密的Web3初创公司Spindl完成700万美元融资,DragonFly Capital、Chapter1、Polygon Ventures、Tribe Capital、Multicoin以及少数天使投资人支持,新资金将用于扩大招聘。
Spindl创始人García Martínez表示,该公司试图为Web3重建Web2电子商务后端的基本部分,即互联网企业如何跟踪他们的客户来自哪里,并制定获客策略来吸引更多用户。例如,Spindl可以通过分析Discord帖子、Reddit论坛、广告和其他互联网链接,将这些数据与购买、销售和交易等链上行为配对,以创建帮助协议了解流量来源的配置文件。[2022/10/20 16:30:59]
但如果大家看到的签名内容如上面这个截图,看不明白是什么,就别操作了。因为上面这个弹窗的签名内容是OpenSea的卖单签名,但卖单的价格可能被攻击者设置为0.001E,如果你不小心在钓鱼网站对此签名了,你的NFT可能就会被低价卖给钓鱼者。
所以对于签名消息有一个大致原则,看得懂就签,看不懂就别签。
合约调用
大家在很多网站上遇到更多的情况是合约调用,例如mintNFT之类的操作等。
如果是合约调用,首先需要确定的是调用的「合约地址」是不是官方公布的合约地址,确定合约地址没问题之后再看调用该合约的「功能类型」,如果「调用功能」类型显示approve、setApprovalForAll、transfer、safeTransferFrom之类的字样就需要警惕了,因为这是给出授权让别人可以转移走你的资产,这也是最常见的钓鱼方式。
前文所说的OpenSea的Discord被攻击发出的钓鱼网址,以及本人下面推特分享的案例都是这种方式。
所以对于合约调用的总体原则就是:确认合约地址正确,确认操作类型不是approve、setApprovalForAll、transfer、safeTransferFrom等字样。
对于运营者
对于大部分场景做到以上,普通用户就可以避坑了,但是作为Discord的运营者,我们需要比普通用户更尽责地保护社区成员的安全,避免因为运营者的安全疏忽导致用户的损失。对于Discord的运营者,也有以下几点需要注意的:
开启2FA
没有开启2FA的话,一旦账号密码泄漏,那么攻击者就可以利用管理者的账号发布钓鱼信息。
别点陌生链接
目前发现有针对于Discord管理者钓鱼的网站,管理者进入网站被引导后会让攻击者得到管理者的Discordsession,攻击者利用session就可以绕开2FA及登陆验证,直接以管理员的身份接管Discord社区了。下面推文有详细分析,感兴趣的朋友可以看看。
尽量少引入Bot
为社区每增加一个Bot,就会带来多一分的安全风险,任何一个Bot被攻击者利用了,都能够对社区的Discord发起SCAM攻击。
Crepto社区只引入了一个外部Bot,CollabLand,用于验证holder的身份,毕竟已经是Discord标配了。其他Bot如果不是必须使用的话,Crepto社区也就不再引入了。
引入Bot权限过大
Discord管理员引入Bot的时候,需要注意Bot索取的服务器权限,秉持最小授权原则,如果发现一个功能简单的Bot要求管理员权限的话,最好不要引入。因为这个Bot的项目方如果被攻击,轻则只是给您的Discord社区发送垃圾消息,重则它可以剔出所有用户,删除所有频道和记录。
上面是引入CollabLandBot时索取服务器的权限,CollabLandBot要求授权的是「管理员」这个最高权限。CollabLandBot的作用是给通过认证了的holder授予了某个角色,实际上CollabLandBot只需要索取管理Member和Role的权限就足够了,但不知道为何索要了最高权限?也希望知道的朋友告知一下。
所以对于Discord的管理者来说,Discord的安全主要在于:
-管理者账号的安全?
-Bot的安全
管理者账号的安全可以由团队提升安全意识来保证,但Bot的安全对于管理者来说却无能为力,所以管理者只能是秉持能少用Bot就少用,能少给授权就少给的原则来处理即可。
对于开发者
Crepto社区已经开发了两款DiscordBot,也算是对Discord的开发有所了解。所以对于在Discord上进行开发的朋友们,也给出了以下几点安全建议:
Bot的Token一定要保证安全
Discord的开发者都知道,Bot的生命线就掌握在Token上,Token被攻击者拿到之后,攻击者可以利用你的Bot干他想干的任何事情,所以千万需要像重视钱包私钥安全那样去重视Bot的Token。
运行Bot的服务器安全
服务器安全的话题可以无限展开,但这里就提醒一点,BotToken的安全十分重要,Bot是在服务器上运行的,所以服务器被攻破意味着Token也泄漏了,当然还有Bot所获取Discord上的所有数据也全泄漏了。
养成定期更换Token的习惯
就跟一些网站定期要求用户更换密码一样,虽然Discord没有强制要求开发者定期更换Bot的Token,但我认为养成定期更换Token是必不可少的,特别是你的Bot用户数量多的时候。
Bot按需索取权限
千万别无脑索取Discord服务器的「管理员」权限,确认你的Bot需要用到哪些功能,再去索取相应的权限。这样即便你的Bot被黑,那么受损程度也被控制在一定范围之内。
对于开发者的总体原则就是保证BotToken的安全,以及最小索取你的Bot权限。
头条 ▌中国工程院院士郑纬民:元宇宙的构建需要新的计算架构5月29日消息,近日,元宇宙产业委员会共同主席、清华大学教授、中国工程院院士郑纬民在举办的2022元宇宙共识大会上表示,元宇宙的深入发展有赖于计算技术的支撑,需要算力大发展.
1900/1/1 0:00:005月30日消息,跨境支付巨头速汇金正试图扩大数字货币的采用,计划将推出基于Stellar的稳定币汇款平台。据悉,速汇金正准备与Stellar区块链合作推出一项服务,该服务将支持用户进行稳定币汇款及稳定币与硬通货之间的兑换.
1900/1/1 0:00:00在最基本的层面上,DAO是简单的。它们促进了两件事:集体所有权和集体决策。当我们考虑到设计DAO的许多方法时,它开始变得更加复杂。当谈到设计DAO时,我们花了太多的时间讨论每个DAO的不同,而没有足够的时间思考它们相同之处.
1900/1/1 0:00:002022年5月19日,“中国旅游日”主会场活动在山西开幕。在文化和旅游部市场管理司指导下,山西省文物局、山西省文化和旅游厅联合腾讯幻核、腾讯区块链,共同推出“古建有画说”公益数字文创藏品计划,面向群众免费限量发行五款共计5万份的山西古.
1900/1/1 0:00:00金色财经报道,在Terra代币崩盘之后,商品期货交易委员会(CFTC)专员CarolinePham呼吁投资者将加密代币视为一种可以预期盈利或亏损的彩票.
1900/1/1 0:00:00微软联合创始人比尔·盖茨并不是加密货币的粉丝。盖茨现在是全球第四大富豪,拥有1,250亿美元的身家。周四,他在Reddit的“随便问我”论坛上表示,自己不持有任何数字货币。“我喜欢投资有价值的东西.
1900/1/1 0:00:00