Discord

最近見られましたDiscordのセキュリティの問題は頻繁に発生します。この記事では、Discordのセキュリティをトピックとして使用して、Discordのセキュリティ問題を共有しています。

実際にはDiscordのセキュリティの問題は長い間批判されてきましたが、Discordがオープンすぎるため、これは完全に非難することはできません。元のAndroidと同様に、どのアプリもシステムのほぼすべての権限を取得できます。したがって、どのアプリにもセキュリティリスクがあり、システム全体にセキュリティリスクがあります。 Discord（通常のユーザー、オペレーター、開発者）の3つの役割について言えば、セキュリティに注意を払わないこともセキュリティの問題につながります。

安全であることは少し問題ではありません。この記事が上記の3人のキャラクターの読者に役立つことを願っています。

通常のユーザー向けDiscordのユーザーが苦しむ主な理由は、DiscordのフィッシングWebサイトに関する情報が多すぎるため、通常のユーザーにとっては、フィッシングを避けるために、次の点に注意する必要があります。

プライベートメッセージを閉じます

このオプションがオンになっている場合、Discordメンバーはあなたにプライベートチャットを直接開始できます。これらのメンバーのアバターとアカウントは、Discordで見られる管理者とまったく同じかもしれません。この時点で、警戒を緩和し、このアカウントを簡単に信頼することができるので、彼らがあなたにリンクを送るとき、あなたは正常に養子になるかもしれません。

さらに、友人はリクエストに注意を払う必要があります。私は行ったことがあります私はOpenseaの不一致で質問しましたが、その結果、アバターとアカウントは、友人を追加するように要求するためにDiscord管理者とまったく同じであるということでした。この状況を直接無視するだけです。

不明なリンクをクリックしないでください

このスクリーンショットはですOpenseaの公式の不一致のニュースは、OpenseaがYouTubeと協力してNFTSを発行することであり、100の無料の場所しかありません。初心者のユーザーがこのメッセージを見たとき、彼はすぐにFOMOかもしれません。スクリーンショットのリンクをクリックした後、彼が見たウェブサイトはおそらくこのように見えます。

ドメイン名とウェブサイトを表示しても問題ありません。 100の場所しかないと思う場合は、クレームをクリックしてミントをつかむこともできますが、トランザクションを実行した後、NFTは失われます。

したがって、この種のニュースを見るときは警戒しなければなりません。一般的に言えば、各プロジェクトパーティーはそれを発行します。NFTを公開する場合は、事前にメッセージをリリースします。 NFTを公開するように突然言うこの種のニュースは、一般的に偽物です。

フィッシングウェブサイトを判断する方法

時々送信されたリンク（グループメンバー、管理者、またはロボットから送信されたリンク）が表示された場合、クリックする前にアクセスしたドメイン名がプロジェクトの公式ドメイン名であるかどうかを確認する必要があります。そうでない場合は、クリック後に非常に警戒する必要があります。

サイトが呼び出す場合メタマスクポップアップウィンドウでは、次の画像など、安全なウォレットアドレスを表示する必要があります。

 この操作は、Webサイトがウォレットアドレスを表示することを許可するためだけであり、資産に関する他の操作はありません。

このウェブサイトで閲覧を続け、ウォレット関連の操作を実行する必要がある場合は、特に注意を払う必要があります。一般的に、ウェブサイトはあなたを呼び出しますメタマスクにはいくつかの操作タイプがあります：

移行

送金するときメタマスクポップアップウィンドウ

Webサイトがスクリーンショットで転送要求を起動した場合、転送の宛先アドレスが転送するアドレスであるかどうか、および転送の量が正しいかどうかに注意する必要があります。

転送には比較的簡単です。コレクションのアドレスと量を決定するだけです。

サイン

一般的に、署名を取得する目的は、ウォレットアドレスがあることを証明することです。DiscordにはCollablandと呼ばれるロボットがあります。署名を使用して、ウォレットアドレスがあり、ウォレットアドレスにNFTがあることを確認します。検証が渡された後、ホルダーID認証が与えられます。

表示される署名コンテンツがそのような単純なテキストで読みやすい場合、問題はありません。この一節の意味を理解できます。しかし、ランダムな署名に注意を払うことは、資産の損失にもつながります。

ただし、上記のスクリーンショットのような署名コンテンツが表示され、それが何であるかわからない場合は、操作しないでください。上記のポップアップウィンドウの署名コンテンツはOpenseaの販売注文署名であるが、販売注文の価格は攻撃者によって0.001Eに設定される可能性があるためです。フィッシングのウェブサイトで誤ってこれに署名すると、NFTは低価格でフィッシャーに販売される場合があります。

したがって、メッセージに署名するための一般的な原則があります。署名しても署名しても、できない場合は署名しないでください。

契約コール

などの多くのWebサイトでより多くの状況が発生しますミントNFTおよびその他の操作。

 契約の呼び出しの場合、最初に決定する必要があるのは、「契約アドレス」が公式に発表された契約アドレスであるかどうかです。契約アドレスを確認した後、契約の「関数タイプ」を調べます。 「コール関数」タイプが承認、SetApprovalForall、Transfer、Safetransferfromなどの単語を表示する場合、これは他の人があなたの資産を転送できるようにする許可であるため、警戒する必要があります。

したがって、契約通話の全体的な原則は次のとおりです。契約アドレスが正しいことを確認し、操作タイプがないことを確認してください承認、setapprovalall、転送、Safetransferfromおよびその他の単語を承認します。

オペレーター向け

ほとんどのシナリオでは、通常のユーザーは落とし穴を避けることができますが、不一致のオペレーターは、オペレーターの安全性の過失によって引き起こされる損失を避けるために、通常のユーザーよりも責任を持ってコミュニティメンバーの安全性を保護する必要があります。 Discordオペレーターの場合、次の点もあります。

開ける2FA

有効になっていません2FA、アカウントのパスワードが漏れたら、攻撃者は管理者のアカウントを使用してフィッシング情報を公開できます。

なじみのないリンクをクリックしないでください

現在標的であることがわかっています不和管理者はウェブサイトをフィッシュします。管理者がウェブサイトに入り、ガイドされた後、攻撃者は管理者の不和セッションを取得します。攻撃者はセッションを使用して2FAをバイパスし、検証をログインし、管理者として不一致コミュニティを直接引き継ぐことができます。次のツイートには詳細な分析があり、興味のある友人は見ることができます。

できるだけ紹介してみてくださいボット

コミュニティに1つ追加しますボットはより多くのセキュリティリスクをもたらします。攻撃者によって搾取されているボットは、コミュニティの不和に対する詐欺攻撃を開始できます。

Creptoコミュニティは、すでにDiscordの標準であるホルダーの身元を検証するために、外部ボットCollablandを導入しただけです。他のボットが必要ない場合、Creptoコミュニティは導入されなくなります。

紹介されたボット許可が大きすぎます

ボットを導入する際、Discord管理者は、ボットによって要求されたサーバー許可に注意を払い、最小限の承認の原則を遵守する必要があります。単純な関数を備えたボットを見つけた場合、管理者のアクセス許可が必要です。それらを導入しないことが最善です。このボットのプロジェクトパーティーが攻撃された場合、少なくともスパムメッセージを不一致コミュニティに送信し、最悪の場合はすべてのユーザーを排除し、すべてのチャネルとレコードを削除できるためです。

上記が導入されていますCollabland Botには、サーバーを取得するために最高の権限が必要です。 Collabland Botには、「管理者」の承認が必要です。 Collabland Botの機能は、認定された保有者に特定の役割を付与することです。実際、Collabland Botは、メンバーと役割を管理するための権限を取得するだけですが、なぜ最高の権限が必要なのかわかりませんか？それを知っている友達があなたに知らせることを願っています。

だから不一致マネージャーにとって、不一致のセキュリティは主に次のことです。

マネージャーアカウントのセキュリティ

ボットの安全

マネージャーのアカウントのセキュリティは、セキュリティ意識を向上させるためにチームによって確保できますが、ボットのセキュリティはマネージャーにとって無力であるため、マネージャーは、ボットを使用することを少なくし、許可を少なくするという原則を順守することによってのみ処理できます。

開発者向けボットのトークンは安全でなければなりません

Discord開発者は皆、ボットのライフラインがトークンによって制御されていることを知っています。トークンが攻撃者によって取得された後、攻撃者はあなたのボットを使用して自分が望むことを何でもすることができます。そのため、ウォレットの秘密鍵のセキュリティに注意を払うのと同じくらい、ボットのトークンに注意を払わなければなりません。

走るボットのサーバーセキュリティ

サーバーセキュリティのトピックは無制限になる可能性がありますが、ここにリマインダーがあります。ボットトークンのセキュリティは非常に重要です。ボットはサーバーで実行されるため、サーバーの内訳はトークンも漏れていることを意味し、もちろん、ボットによって得られた不和に関するすべてのデータもリークされています。

定期的に交換してくださいトークンの習慣

一部のWebサイトと同じように、定期的にユーザーにパスワードを変更する必要がありますが、Discordは、開発者にボットのトークンを定期的に変更することを義務付けていませんが、特にボットユーザーが大きい場合は、通常のトークンを開発することが不可欠だと思います。

 ボット要求許可オンデマンド

脳なしでそれを求めないでくださいDiscordサーバーの「管理者」権限は、ボットが使用する必要がある機能を確認し、対応するアクセス許可を求めます。このようにして、ボットがハッキングされていても、損傷は特定の範囲内で制御されます。

開発者の全体的な原則は、確実にすることですボットトークンセキュリティとボット許可の最小リクエスト。