原文標題:《全面解析 Discord 安全問題》?
最近看到 Discord 的安全問題頻發,近期本人也從 Discord 的普通用戶,轉變到 Discord 社區的運營者,同時也成為了 Discord 生態上的開發者,所以本文就以 Discord 的安全作為主題給大家分享一下 Discord 上有關安全的問題。
實際上 Discord 的安全問題被詬病已久,但這也不能完全責怪 Discord,因為 Discord 實在是太開放了,就像最初的 Android 一樣,任何一個 APP 都可以拿到幾乎系統的所有權限,所以任何一個 APP 有安全風險,那么整個系統都會有安全風險。上面說到 Discord 的三個角色(普通用戶、運營者、開發者),任何一方未對安全引起重視也都會導致安全問題。
安全無小事,希望這篇文章能夠幫助到以上三個角色的讀者們。
Discord 上的用戶遭受損失主要是因為 Discord 上的釣魚網站信息太多了,所以對于普通用戶來說,為了避免被釣魚,需要注意以下幾點:
關閉私信
關閉私聊
該選項如果打開的話,Discord 的成員可以直接向你發起私聊,而這些成員的頭像以及賬號也許會與你在 Discord 里看到的管理員一模一樣,這時你也許就會放松警惕而輕信這個賬號,所以當他們發送某個鏈接給你的時候也許你就被釣魚成功了。
投資盤點公司Deal Box成立風投公司以投資Web3技術:金色財經報道,基于區塊鏈的數字證券和投資盤點公司 Deal Box 成立 Deal Box Ventures,將向新興增長領域、房地產、FinTech、FunTech 和社會影響五個方面的 Web3 技術投資 1.25 億美元。 Deal Box 已經完成了對 Total Network Services、 Rypplzz 和 Forward-Edge AI 的初步戰略投資。[2023/1/18 11:19:29]
另外好友請求也需要注意,最近我在 OpenSea 的 Discord 里問了個問題,結果也是頭像和賬號和 Discord 管理員一模一樣的賬號來請求加好友,這種情況直接忽略就好。
不要點擊任何未知鏈接
這個截圖是 OpenSea 官方的 Discord 中的消息,大意是說 OpenSea 要和 YouTube 合作發行 NFT,只有 100 個免費名額。小白用戶看到這個消息可能立馬 FOMO 了,點擊截圖中的鏈接后,看到的網站大概長這樣。
周星馳開通ins賬號,并發布動態招聘Web3人才:10月18日消息,周星馳在 ins 開通首個社交賬號,并發布人才招募令,“在漆黑中找尋鮮明出眾的 Web3 人才,助我建造創意未來”,具體要求包括熟悉 Web3、有項目管理經驗、有頭腦又宅心仁厚。周星馳還表示會親自挑人。[2022/10/18 17:31:11]
看到域名和網站都沒問題,想到只有 100 個名額,也許就趕緊點 Claim 搶 Mint 了,但執行了該交易之后你的 NFT 也就丟了。
所以看到這種消息千萬需要提高警惕,一般來說各個項目方發行 NFT 的話都會提前發布消息,這種突然告訴你要發布 NFT 的消息一般都是假的。
如何判斷釣魚網站
有時候在 Discord 里看到無論是誰發來的鏈接(可能是群友、管理員、機器人發的鏈接),在點擊之前首先需要看訪問的域名是不是項目官方的域名,如果不是的話點擊進入后就需要十分警惕:
如果該網站喚起 MetaMask 的彈窗只是要求查看你的錢包地址,是安全的,例如下圖:
該操作只是授權該網站查看你的錢包地址,不會對你的資產有其他操作。
Coinbase發布2022年Web和加密經濟的10個預測:12月31日消息,Coinbase發布2022年Web和加密經濟的10個預測,包括:
1. 以太坊的可擴展性將會提高,但新的Layer1鏈將出現大幅增長;
2. L1-L2 跨鏈橋的可用性將有顯著改進;
3. 零知識證明技術將獲得更多關注;
4. 受監管的DeFi和鏈上kyc證明將會出現;
5. 機構將在DeFi參與中發揮更大的作用;
6. DeFi保險將出現;
7. 基于NFT的社區將給Web 2.0社交網絡帶來實質性的競爭;
8. 品牌將開始積極參與Metaverse和NFT;
9. Web2公司將覺醒并嘗試進入Web3;
10. DAO 2.0時代即將來臨。[2021/12/31 8:16:03]
當你繼續在該網站上瀏覽,需要進行錢包相關操作的時候就需要特別留意了,一般網站喚起你的 MetaMask 總共有如下幾個操作類型:
轉賬
如果網站喚醒的是截圖上的轉賬請求,你需要注意轉賬的目標地址是不是你希望轉出的地址,以及轉賬的金額是否正確。
Glitch錢包測試版上線,未來將從基于瀏覽器的版本過渡為Web擴展錢包:Glitch Finance宣布,Glitch錢包的免費開源測試版現已上線,可以供用戶測試。Glitch錢包MVP最初將基于Web,并可通過瀏覽器訪問。Glitch還為Glitch錢包制定了后續計劃,其中包括:從基于瀏覽器的錢包過渡到Web擴展錢包;為所有DApp用戶創建優質體驗的移動錢包。
Glitch錢包的當前版本是測試網第一次迭代的Beta版。用戶將能夠使用Glitch測試網水龍頭將GLCH代幣存入新創建的錢包中。在未來的版本中,除了GLITCH網絡本身之外,用戶還可以將其真正的GLCH代幣從各種異構區塊鏈存入錢包。[2021/7/17 0:59:32]
對于轉賬來說比較簡單,只要確定收款地址和金額就好了。
簽名
一般來說獲取簽名的目的是為了證明你擁有該錢包地址,例如 Discord 里有個叫 Collabland 的機器人,它就是通過簽名來驗證你擁有該錢包地址,并且該錢包地址上擁有該 NFT,驗證通過后就會給你一個 Holder 身份認證。
如果大家看到的簽名內容是這種明文可讀的就沒有什么問題了,你能看明白這段話是什么意思。但注意胡亂簽名也是會導致資產損失。
世界教育區塊鏈協會(WEBA)于6月16日在新加坡正式啟動:由EduCoin主辦的首期“教育+區塊鏈”智匯論壇于6月16日在新加坡舉行,世界教育區塊鏈協會(World Education Blockchain Association)也在本次活動中正式啟動。WEBA為非營利性的國際組織,由全球區塊鏈平臺企業、區塊鏈服務機構、金融服務機構、教育服務機構、具備條件轉型升級的傳統企業、相關科研院所、高校及有關專家學者等自愿參加的國際性區塊鏈行業組織。匯集區塊鏈及教育界的資深從業者和興趣愛好者,共同探討區塊鏈教育相關問題,以促進世界區塊鏈教育行業可持續發展。
WEBA將定期舉辦論壇、峰會等業界交流活動,定期和不定期舉辦區塊鏈的技術研討和技術培訓課程,促進區塊鏈的技術交流,應用推廣和資源整合,幫助人們理解區塊鏈技術的特性及培養具有未來視野和歷史使命的區塊鏈專業人才,共建全球教育區塊鏈生態。[2018/6/16]
但如果大家看到的簽名內容如上面這個截圖,看不明白是什么,就別操作了。因為上面這個彈窗的簽名內容是 OpenSea 的賣單簽名,但賣單的價格可能被攻擊者設置為 0.001E,如果你不小心在釣魚網站對此簽名了,你的 NFT 可能就會被低價賣給釣魚者。
所以對于簽名消息有一個大致原則,看得懂就簽,看不懂就別簽。
合約調用
大家在很多網站上遇到更多的情況是合約調用,例如 mint NFT 之類的操作等。
如果是合約調用,首先需要確定的是調用的「合約地址」是不是官方公布的合約地址,確定合約地址沒問題之后再看調用該合約的「功能類型」,如果「調用功能」類型顯示 approve、setApprovalForAll、transfer、safeTransferFrom 之類的字樣就需要警惕了,因為這是給出授權讓別人可以轉移走你的資產,這也是最常見的釣魚方式。
前文所說的 OpenSea 的 Discord 被攻擊發出的釣魚網址,以及本人下面推特分享的案例都是這種方式。
所以對于合約調用的總體原則就是:確認合約地址正確,確認操作類型不是 approve、setApprovalForAll、transfer、safeTransferFrom 等字樣。
對于大部分場景做到以上,普通用戶就可以避坑了,但是作為 Discord 的運營者,我們需要比普通用戶更盡責地保護社區成員的安全,避免因為運營者的安全疏忽導致用戶的損失。對于 Discord 的運營者,也有以下幾點需要注意的:
沒有開啟 2FA 的話,一旦賬號密碼泄漏,那么攻擊者就可以利用管理者的賬號發布釣魚信息。
目前發現有針對于 Discord 管理者釣魚的網站,管理者進入網站被引導后會讓攻擊者得到管理者的 Discord session,攻擊者利用 session 就可以繞開 2FA 及登陸驗證,直接以管理員的身份接管 Discord 社區了。下面推文有詳細分析,感興趣的朋友可以看看。
為社區每增加一個 Bot,就會帶來多一分的安全風險,任何一個 Bot 被攻擊者利用了,都能夠對社區的 Discord 發起 SCAM 攻擊。
Crepto 社區只引入了一個外部 Bot,CollabLand,用于驗證 holder 的身份,畢竟已經是 Discord 標配了。其他 Bot 如果不是必須使用的話,Crepto 社區也就不再引入了。
Discord 管理員引入 Bot 的時候,需要注意 Bot 索取的服務器權限,秉持最小授權原則,如果發現一個功能簡單的 Bot 要求管理員權限的話,最好不要引入。因為這個 Bot 的項目方如果被攻擊,輕則只是給您的 Discord 社區發送垃圾消息,重則它可以剔出所有用戶,刪除所有頻道和記錄。
上面是引入 CollabLand Bot 時索取服務器的權限,CollabLand Bot 要求授權的是「管理員」這個最高權限。CollabLand Bot 的作用是給通過認證了的 holder 授予了某個角色,實際上 CollabLand Bot 只需要索取管理 Member 和 Role 的權限就足夠了,但不知道為何索要了最高權限?也希望知道的朋友告知一下。
所以對于 Discord 的管理者來說,Discord 的安全主要在于:
- 管理者賬號的安全?
- Bot 的安全
管理者賬號的安全可以由團隊提升安全意識來保證,但 Bot 的安全對于管理者來說卻無能為力,所以管理者只能是秉持能少用 Bot 就少用,能少給授權就少給的原則來處理即可。
Crepto 社區已經開發了兩款 Discord Bot,也算是對 Discord 的開發有所了解。所以對于在 Discord 上進行開發的朋友們,也給出了以下幾點安全建議:
Bot 的 Token 一定要保證安全
Discord 的開發者都知道,Bot 的生命線就掌握在 Token 上,Token 被攻擊者拿到之后,攻擊者可以利用你的 Bot 干他想干的任何事情,所以千萬需要像重視錢包私鑰安全那樣去重視 Bot 的 Token。
運行 Bot 的服務器安全
服務器安全的話題可以無限展開,但這里就提醒一點,Bot Token 的安全十分重要,Bot 是在服務器上運行的,所以服務器被攻破意味著 Token 也泄漏了,當然還有 Bot 所獲取 Discord 上的所有數據也全泄漏了。
養成定期更換 Token 的習慣
就跟一些網站定期要求用戶更換密碼一樣,雖然 Discord 沒有強制要求開發者定期更換 Bot 的 Token,但我認為養成定期更換 Token 是必不可少的,特別是你的 Bot 用戶數量多的時候。
Bot 按需索取權限
千萬別無腦索取 Discord 服務器的「管理員」權限,確認你的 Bot 需要用到哪些功能,再去索取相應的權限。這樣即便你的 Bot 被黑,那么受損程度也被控制在一定范圍之內。
對于開發者的總體原則就是保證 Bot Token 的安全,以及最小索取你的 Bot 權限。
金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是項目周刊,帶您一覽本周主流項目以及明星項目的進展.
1900/1/1 0:00:00引言:Luna 從數百億市值到頃刻歸零,而就在短短幾個月前,它還完成了一輪10億美元的融資,由 Jump Crypto 和三箭資本領投.
1900/1/1 0:00:00近年來,在發達經濟體和新興市場經濟體中,央行越來越多地參與與中央銀行數字貨幣相關的項目——即以國家記賬單位計價的數字貨幣,并且是中央銀行的負債(BIS(2021)).
1900/1/1 0:00:00區塊鏈生態已經從單純的鏈上通證發展成了一系列高級的去中心化應用,而這些應用的底層技術就是混合型智能合約.
1900/1/1 0:00:00來源:老雅痞 白人在加密貨幣社區中占大多數已經不是什么秘密了--畢竟,"加密貨幣兄弟 "的刻板印象已經存在多年了.
1900/1/1 0:00:002022年以來,加密市場持續動蕩,至今已距2021年高點價格下降超50%。然后價格腰斬似乎并未影響比特幣的采用。加密在重新定義所有權和價值轉移方面仍出現了一些令人興奮的發展.
1900/1/1 0:00:00