比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > DOGE > Info

SCOR:Web3防騙指南:Discord用戶、運營者、開發者都應了解的安全技能

Author:

Time:1900/1/1 0:00:00

原文標題:《全面解析Discord安全問題》?

最近看到Discord的安全問題頻發,近期本人也從Discord的普通用戶,轉變到Discord社區的運營者,同時也成為了Discord生態上的開發者,所以本文就以Discord的安全作為主題給大家分享一下Discord上有關安全的問題。

實際上Discord的安全問題被詬病已久,但這也不能完全責怪Discord,因為Discord實在是太開放了,就像最初的Android一樣,任何一個APP都可以拿到幾乎系統的所有權限,所以任何一個APP有安全風險,那么整個系統都會有安全風險。上面說到Discord的三個角色,任何一方未對安全引起重視也都會導致安全問題。

安全無小事,希望這篇文章能夠幫助到以上三個角色的讀者們。

對于普通用戶

Discord上的用戶遭受損失主要是因為Discord上的釣魚網站信息太多了,所以對于普通用戶來說,為了避免被釣魚,需要注意以下幾點:

關閉私信

關閉私聊

該選項如果打開的話,Discord的成員可以直接向你發起私聊,而這些成員的頭像以及賬號也許會與你在Discord里看到的管理員一模一樣,這時你也許就會放松警惕而輕信這個賬號,所以當他們發送某個鏈接給你的時候也許你就被釣魚成功了。

Binance.US現已提供Web3域名,定價為10美元:5月15日消息,Binance.US近日在推特上宣布,用戶已在該平臺可申領個性化域名。根據申領頁面,每個域名定價為10美元,永不過期,名域與Binance.US上的50多種加密貨幣兼容。該域名是基于Polygon網絡上的NFT,與Binance.US錢包相關聯,由Binance.US和NFT域名服務提供商Unstoppable Domains管理。

此前4月27日消息,Binance.US將通過與Unstoppable Domains的合作向其用戶提供Web3域名。[2023/5/15 15:03:21]

另外好友請求也需要注意,最近我在OpenSea的Discord里問了個問題,結果也是頭像和賬號和Discord管理員一模一樣的賬號來請求加好友,這種情況直接忽略就好。

不要點擊任何未知鏈接

這個截圖是OpenSea官方的Discord中的消息,大意是說OpenSea要和YouTube合作發行NFT,只有100個免費名額。小白用戶看到這個消息可能立馬FOMO了,點擊截圖中的鏈接后,看到的網站大概長這樣。

RTFKT&Clones加入耐克Web3生態系統平臺“.Swoosh”:金色財經報道,據加密時尚潮牌 RTFKT 在社交媒體宣布,RTFKT&Clones 已加入耐克最新推出的 Web3 生態系統平臺“.Swoosh”,Clone X 持有者現在可以通過 RTFKT 官網獲取唯一代碼來申領自己的“.Swoosh ID”,每個 Clone X 持有者/錢包有資格獲得 1 個代碼,目前已于美國東部時間 2023 年 2 月 3 日上午 9:10 完成錢包快照。[2023/2/8 11:53:59]

看到域名和網站都沒問題,想到只有100個名額,也許就趕緊點Claim搶Mint了,但執行了該交易之后你的NFT也就丟了。

所以看到這種消息千萬需要提高警惕,一般來說各個項目方發行NFT的話都會提前發布消息,這種突然告訴你要發布NFT的消息一般都是假的。

如何判斷釣魚網站

有時候在Discord里看到無論是誰發來的鏈接,在點擊之前首先需要看訪問的域名是不是項目官方的域名,如果不是的話點擊進入后就需要十分警惕:

如果該網站喚起MetaMask的彈窗只是要求查看你的錢包地址,是安全的,例如下圖:

FTX Web3基金負責人:Web3將吸引許多Web2開發人員:2月20日消息,FTX的Web3基金負責人Amy Wu對Jack Dorsey的Web3概念和風險投資公司a16z在該領域的巨大作用進行了權衡,她表示,懷疑論者將有助于保持Web3生態系統的健康。“有一種持續的敘事和偏執狂認為Web3將變得集中化,就像以前行業和互聯網等的興起一樣,”她說。\"我認為人們對此保持偏執,并大聲討伐“壞人”是件好事。此外,Amy Wu表示,Web3將吸引許多Web2開發人員加入其生態系統,特別是在今年晚些時候許多跨鏈協議上線之后。這些橋梁可以使開發人員對在特定鏈上開發新產品更有信心。隨著時間的推移,更好的安全性將會到來。(Decrypt)[2022/2/20 10:04:21]

該操作只是授權該網站查看你的錢包地址,不會對你的資產有其他操作。

當你繼續在該網站上瀏覽,需要進行錢包相關操作的時候就需要特別留意了,一般網站喚起你的MetaMask總共有如下幾個操作類型:

轉賬

幣贏平臺HTDF公鏈htdf_web3.js已成功上線:據官方消息,幣贏平臺項目HTDF公鏈htdf_web3.js已成功上線,htdf_web3.js可以使用HTTP接本地或遠程HTDF節點進行交互。web3的JavaScript庫能夠與HTDF區塊鏈交互。它可以檢索用戶帳戶,發送交易,與智能合約交互等。安裝htdf_web3.js后,通過const HTDF = require(\"htdf_web3\")獲取htdf_web3.js;有了 htdf 連接就可以與HTDF主鏈進行通信。更多詳情請訪問官網。[2021/1/29 14:20:33]

如果網站喚醒的是截圖上的轉賬請求,你需要注意轉賬的目標地址是不是你希望轉出的地址,以及轉賬的金額是否正確。

對于轉賬來說比較簡單,只要確定收款地址和金額就好了。

簽名

一般來說獲取簽名的目的是為了證明你擁有該錢包地址,例如Discord里有個叫Collabland的機器人,它就是通過簽名來驗證你擁有該錢包地址,并且該錢包地址上擁有該NFT,驗證通過后就會給你一個Holder身份認證。

如果大家看到的簽名內容是這種明文可讀的就沒有什么問題了,你能看明白這段話是什么意思。但注意胡亂簽名也是會導致資產損失。

公告 | 火幣全球站API已優化Websocket訂單和資產推送接口的ping/pong間隔和限頻規則:據官網公告,為了提升API用戶的交易體驗,火幣全球站API已優化Websocket訂單和資產推送接口的ping/pong間隔和限頻規則。API用戶需關注本通知所描述調整,并在必要時對用戶端應用程序做出相應修改。[2019/7/8]

但如果大家看到的簽名內容如上面這個截圖,看不明白是什么,就別操作了。因為上面這個彈窗的簽名內容是OpenSea的賣單簽名,但賣單的價格可能被攻擊者設置為0.001E,如果你不小心在釣魚網站對此簽名了,你的NFT可能就會被低價賣給釣魚者。

所以對于簽名消息有一個大致原則,看得懂就簽,看不懂就別簽。

合約調用

大家在很多網站上遇到更多的情況是合約調用,例如mintNFT之類的操作等。

如果是合約調用,首先需要確定的是調用的「合約地址」是不是官方公布的合約地址,確定合約地址沒問題之后再看調用該合約的「功能類型」,如果「調用功能」類型顯示approve、setApprovalForAll、transfer、safeTransferFrom之類的字樣就需要警惕了,因為這是給出授權讓別人可以轉移走你的資產,這也是最常見的釣魚方式。

前文所說的OpenSea的Discord被攻擊發出的釣魚網址,以及本人下面推特分享的案例都是這種方式。

所以對于合約調用的總體原則就是:確認合約地址正確,確認操作類型不是approve、setApprovalForAll、transfer、safeTransferFrom等字樣。

對于運營者

對于大部分場景做到以上,普通用戶就可以避坑了,但是作為Discord的運營者,我們需要比普通用戶更盡責地保護社區成員的安全,避免因為運營者的安全疏忽導致用戶的損失。對于Discord的運營者,也有以下幾點需要注意的:

開啟2FA

沒有開啟2FA的話,一旦賬號密碼泄漏,那么攻擊者就可以利用管理者的賬號發布釣魚信息。

別點陌生鏈接

目前發現有針對于Discord管理者釣魚的網站,管理者進入網站被引導后會讓攻擊者得到管理者的Discordsession,攻擊者利用session就可以繞開2FA及登陸驗證,直接以管理員的身份接管Discord社區了。下面推文有詳細分析,感興趣的朋友可以看看。

盡量少引入Bot

為社區每增加一個Bot,就會帶來多一分的安全風險,任何一個Bot被攻擊者利用了,都能夠對社區的Discord發起SCAM攻擊。

Crepto社區只引入了一個外部Bot,CollabLand,用于驗證holder的身份,畢竟已經是Discord標配了。其他Bot如果不是必須使用的話,Crepto社區也就不再引入了。

引入Bot權限過大

Discord管理員引入Bot的時候,需要注意Bot索取的服務器權限,秉持最小授權原則,如果發現一個功能簡單的Bot要求管理員權限的話,最好不要引入。因為這個Bot的項目方如果被攻擊,輕則只是給您的Discord社區發送垃圾消息,重則它可以剔出所有用戶,刪除所有頻道和記錄。

上面是引入CollabLandBot時索取服務器的權限,CollabLandBot要求授權的是「管理員」這個最高權限。CollabLandBot的作用是給通過認證了的holder授予了某個角色,實際上CollabLandBot只需要索取管理Member和Role的權限就足夠了,但不知道為何索要了最高權限?也希望知道的朋友告知一下。

所以對于Discord的管理者來說,Discord的安全主要在于:

-管理者賬號的安全?

-Bot的安全

管理者賬號的安全可以由團隊提升安全意識來保證,但Bot的安全對于管理者來說卻無能為力,所以管理者只能是秉持能少用Bot就少用,能少給授權就少給的原則來處理即可。

對于開發者

Crepto社區已經開發了兩款DiscordBot,也算是對Discord的開發有所了解。所以對于在Discord上進行開發的朋友們,也給出了以下幾點安全建議:

Bot的Token一定要保證安全

Discord的開發者都知道,Bot的生命線就掌握在Token上,Token被攻擊者拿到之后,攻擊者可以利用你的Bot干他想干的任何事情,所以千萬需要像重視錢包私鑰安全那樣去重視Bot的Token。

運行Bot的服務器安全

服務器安全的話題可以無限展開,但這里就提醒一點,BotToken的安全十分重要,Bot是在服務器上運行的,所以服務器被攻破意味著Token也泄漏了,當然還有Bot所獲取Discord上的所有數據也全泄漏了。

養成定期更換Token的習慣

就跟一些網站定期要求用戶更換密碼一樣,雖然Discord沒有強制要求開發者定期更換Bot的Token,但我認為養成定期更換Token是必不可少的,特別是你的Bot用戶數量多的時候。

Bot按需索取權限

千萬別無腦索取Discord服務器的「管理員」權限,確認你的Bot需要用到哪些功能,再去索取相應的權限。這樣即便你的Bot被黑,那么受損程度也被控制在一定范圍之內。

對于開發者的總體原則就是保證BotToken的安全,以及最小索取你的Bot權限。

Tags:SCORISCSCODISCSCORCHERDisCas VisionCOINSCOPE

DOGE
區塊鏈:金色早報 | 金色數藏META官網今日正式上線Beta測試版

頭條 ▌金色數藏META官網今日正式上線Beta測試版據官方消息,金色數藏META官網于今日正式上線Beta測試版,并將于今天下午5:20開啟西施限量數字藏品免費搶活動.

1900/1/1 0:00:00
WEB:迭代之后 Web3.0會變成“完美的互聯網”嗎

互聯網目前正處于范式轉變的風口浪尖——下一代互聯網,Web3.0,即將出現。簡而言之,Web3.0是互聯網的下一個迭代,它將在很大程度上依賴于區塊鏈技術,以及去中心化理念.

1900/1/1 0:00:00
NFT:搭上Web3.0的數字藏品到底有多火?

隨著NFT火爆全球,國內市場也隨之而動,以“數字藏品”的身份發展的熱火朝天、風生水起。為了讓大家對數字藏品有一個系統的了解,我們特別準備了數字藏品專題系列文章,帶大家從數字藏品的基礎概念、發展現.

1900/1/1 0:00:00
DAO:寫給 DAO 的一封情書:愛上 DAO 我筋疲力盡

我仍然非常愛你,DAO,我打算用我的余生和你一起成長。但是現在,我將更多地關注我稱之為家的DAO.

1900/1/1 0:00:00
IMP:像素風Chimpers:是否能成為NFT潛力項目

今天來給大家介紹一群黑猩猩。前幾天聊了好多優秀的項目,探討了幾天各類精美畫風,換換口味,再跟大家看看像素風.

1900/1/1 0:00:00
SBT:DeFi 之后 DeSoc:尋找 Web 3 的靈魂

Web3在不到十年的時間里打造了一個具有前所未有的靈活性和創造力的平行金融系統,震驚了世界。密碼學和經濟原語或構建塊,例如公鑰密碼學、智能合約、工作量證明和權益證明,已經形成了一個用于表達金融交.

1900/1/1 0:00:00
ads