불화에 대한 보안 질문

최근에 보았습니다Discord의 보안 문제가 자주 발생합니다. 이 기사는 Discord의 보안 문제를 주제로 사용하여 Discord의 보안 문제를 공유합니다.

사실은Discord의 보안 문제는 오랫동안 비판을 받았지만 Discord가 너무 열려 있기 때문에 완전히 비난받을 수는 없습니다. 원래 Android와 마찬가지로 모든 앱은 시스템의 거의 모든 권한을 얻을 수 있습니다. 따라서 모든 앱에는 보안 위험이 있으며 전체 시스템에는 보안 위험이 있습니다. 불일치 (일반 사용자, 운영자, 개발자)의 세 가지 역할에 대해 보안에주의를 기울이지 않으면 보안 문제가 발생합니다.

안전한 것은 아닙니다.이 기사가 위의 세 인물의 독자들에게 도움이되기를 바랍니다.

일반 사용자를 위해Discord의 사용자가 고통을 겪는 주된 주된 이유는 Discord의 피싱 웹 사이트에 너무 많은 정보가 있기 때문에 일반 사용자의 경우 Phishing을 피하기 위해 다음 사항에주의를 기울여야합니다.

개인 메시지를 닫습니다

이 옵션이 켜지면Discord 회원은 귀하에게 개인 채팅을 직접 시작할 수 있으며,이 회원의 아바타와 계정은 Discord에서 볼 수있는 관리자와 정확히 동일 할 수 있습니다. 이 시점에서, 당신은 당신의 경계를 이완 시키고이 계정을 쉽게 신뢰할 수 있으므로, 그들이 당신에게 링크를 보낼 때, 당신은 성공적으로 신호를받을 수 있습니다.

또한 친구는 요청에주의를 기울여야합니다. 나는 그랬다나는 Opensea의 불화에서 질문을했는데 결과는 아바타와 계정이 불화 관리자와 친구 추가를 요청하는 것과 정확히 동일하다는 것입니다. 이 상황을 직접 무시하십시오.

알 수없는 링크를 클릭하지 마십시오

이 스크린 샷입니다Opensea의 공식 불화에 대한 뉴스는 Opensea가 YouTube와 협력하여 100 개의 무료 장소만으로 NFT를 발행한다는 것입니다. 초보자 사용자 가이 메시지를 볼 때 즉시 FOMO를 할 수 있습니다. 스크린 샷에서 링크를 클릭 한 후 그가 본 웹 사이트는 아마도 다음과 같습니다.

도메인 이름과 웹 사이트를 보는 것은 괜찮습니다. 100 개의 장소가 있다고 생각하면 Mint를 잡으려는 Clims를 클릭 할 수도 있지만 거래를 실행하면 NFT가 손실됩니다.

그러므로 이런 종류의 뉴스를 볼 때 당신은 경계해야합니다. 일반적으로 각 프로젝트 당사자는이를 발행합니다.NFT를 게시하려면 미리 메시지를 발표하게됩니다. 갑자기 NFT를 게시하라고 말하는 이런 종류의 뉴스는 일반적으로 가짜입니다.

피싱 웹 사이트를 판단하는 방법

때때로당신이 보내는 사람이 보낸 링크 (그룹 멤버, 관리자 또는 로봇이 보낸 링크)가 방문한 링크를 볼 때 방문한 도메인 이름이 클릭하기 전에 프로젝트의 공식 도메인 이름인지 확인해야합니다. 그렇지 않다면 클릭 한 후 매우 경계해야합니다.

사이트가 호출되는 경우메타 마스크 팝업 창은 다음 그림과 같이 안전한 지갑 주소를 볼 필요가 있습니다.

 이 운영은 웹 사이트가 지갑 주소를 볼 수 있도록 승인하는 것이며 자산에 대한 다른 운영이 없습니다.

이 웹 사이트를 계속 탐색하고 지갑 관련 운영을 수행 해야하는 경우 특별한주의를 기울여야합니다. 일반적으로 웹 사이트가 전화합니다Metamask에는 몇 가지 작동 유형이 있습니다.

옮기다

돈을 옮길 때메타 마스크 팝업 창

웹 사이트가 스크린 샷에서 전송 요청을 깨우면 전송 대상 주소가 전송하려는 주소 여부와 전송 금액이 올바른지 여부에주의를 기울여야합니다.

전송에 대해 상대적으로 간단하며 수집 주소와 금액 만 결정하십시오.

징후

일반적으로 서명을 얻는 목적은 지갑 주소가 있음을 증명하는 것입니다 (예 :Collabland라는 로봇이 Discord에 있습니다. 서명을 사용하여 지갑 주소가 있고 지갑 주소에 NFT가 있는지 확인합니다. 확인이 통과되면 홀더 신원 인증이 제공됩니다.

보이는 서명 내용이 그러한 일반 텍스트로 읽을 수있는 경우 문제가 없습니다. 이 구절이 의미하는 바를 이해할 수 있습니다. 그러나 무작위 서명에주의를 기울이면 자산 손실이 발생할 수 있습니다.

그러나 위의 스크린 샷과 같은 서명 컨텐츠를보고 그것이 무엇인지 이해하지 못하면 작동하지 마십시오. 위의 팝업 창의 서명 내용은 OpenSea의 판매 주문 서명이지만, 판매 주문의 가격은 공격자가 0.001E로 설정할 수 있습니다. 실수로 피싱 웹 사이트에서 이것에 서명하면 NFT는 Phisher에게 저렴한 가격으로 판매 될 수 있습니다.

따라서 메시지에 서명하는 일반적인 원칙이 있습니다. 메시지를 이해할 수있는 경우 서명하고 할 수없는 경우 서명하지 마십시오.

계약 전화

많은 웹 사이트에서 더 많은 상황이 발생합니다민트 NFT 및 기타 작업.

 계약 전화 인 경우 가장 먼저 결정해야 할 것은 "계약 주소"가 공식적으로 발표 된 계약 주소인지 여부입니다. 계약 주소를 확인한 후 계약의 "기능 유형"을 살펴 봅니다. "통화 함수"유형에 승인, setApprovalforall, transfer, safetransferff 등과 같은 단어가 표시되면, 다른 사람들이 자산을 양도 할 수있는 권한이므로 피싱의 가장 일반적인 방법이기 때문에 경계해야합니다.

따라서 계약 전화의 전체 원칙은 다음과 같습니다. 계약 주소가 정확한지 확인하고 운영 유형이승인, SetApprovolforAll, 이전, SAFETRANSFERFFR 및 기타 단어.

운영자를 위해

대부분의 시나리오에서는 일반 사용자가 함정을 피할 수 있지만불화 사업자는 운영자의 안전에 대한 과실로 인한 손실을 피하기 위해 일반 사용자보다 커뮤니티 회원의 안전을 더 책임감있게 보호해야합니다. 불화 연산자의 경우 다음에주의를 기울여야 할 사항도 있습니다.

열려 있는2FA

활성화되지 않았습니다2FA, 계정 암호가 유출되면 공격자는 관리자의 계정을 사용하여 피싱 정보를 게시 할 수 있습니다.

익숙하지 않은 링크를 클릭하지 마십시오

현재 타겟팅 된 것으로 밝혀졌습니다Discord Administrators Phish 웹 사이트. 관리자가 웹 사이트에 들어가서 안내 된 후 공격자는 관리자의 불일치 세션을받습니다. 공격자는 세션을 사용하여 2FA를 우회하고 검증을 기록하고 Discord 커뮤니티를 관리자로 직접 인수 할 수 있습니다. 다음 트윗에는 자세한 분석이 있으며 관심있는 친구들이 살펴볼 수 있습니다.

가능한 한 적은 소개를 시도하십시오봇

커뮤니티에 하나를 추가하십시오봇은 더 많은 보안 위험을 가져올 것입니다. 공격자가 이용한 봇은 커뮤니티의 불화에 대한 사기 공격을 시작할 수 있습니다.

Crepto Community는 홀더의 신원을 확인하기 위해 외부 봇인 Collabland 만 소개했습니다. 결국에는 이미 Discord의 표준 구성입니다. 다른 봇이 필요하지 않으면 Crepto 커뮤니티는 더 이상 도입되지 않습니다.

소개봇 권한이 너무 큽니다

봇을 소개 할 때 불화 관리자는 봇이 요청한 서버 권한에주의를 기울여야하며 최소 승인 원칙을 준수해야합니다. 간단한 기능을 가진 봇에 관리자 권한이 필요한 봇을 찾으면 소개하지 않는 것이 가장 좋습니다. 이 봇의 프로젝트 파티가 공격을받는 경우 최소한 스팸 메시지를 불화 커뮤니티에 보냅니다. 최악의 경우 모든 사용자를 제거하고 모든 채널과 레코드를 삭제할 수 있습니다.

위의 내용이 소개됩니다Collabland Bot은 서버를 얻기 위해 최고 권한이 필요합니다. Collabland Bot은 "관리자"의 승인이 필요합니다. Collabland Bot의 기능은 인증 된 보유자에게 특정 역할을 부여하는 것입니다. 실제로 Collabland Bot은 회원 및 역할을 관리하기위한 권한 만 얻기 만하면되지만 가장 높은 권한이 필요한 이유를 모르겠습니다. 나는 그것을 아는 친구들이 당신에게 알려주기를 바랍니다.

그래서불화 관리자의 경우 불화의 보안은 주로 다음에 있습니다.

관리자 계정의 보안

봇의 안전

관리자 계정의 보안은 팀이 보안 인식을 향상시키기 위해 보장 할 수 있지만봇의 보안은 관리자에게는 무력이므로 관리자는 봇을 적은 봇을 사용하고 승인을 적게하는 원칙을 준수함으로써 만 처리 할 수 ​​있습니다.

개발자를 위해봇의 토큰은 안전해야합니다

Discord Developers는 모두 BOT의 수명선이 토큰에 의해 제어된다는 것을 알고 있습니다. 공격자가 토큰을 얻은 후, 공격자는 봇을 사용하여 원하는대로 할 수 있으므로 지갑의 개인 키의 보안에주의를 기울이는 것만 큼 봇의 토큰에주의를 기울여야합니다.

달리다봇의 서버 보안

서버 보안의 주제는 무제한이지만 여기에 알림이 있습니다.봇 토큰의 보안은 매우 중요합니다. 봇은 서버에서 실행되므로 서버의 고장은 토큰이 유출되었음을 의미하며 물론 BOT가 얻은 불일치에 대한 모든 데이터도 유출되었습니다.

정기적으로 교체하십시오토큰의 습관

일부 웹 사이트에서는 정기적으로 사용자가 비밀번호를 변경하도록 요구하지만Discord는 개발자에게 봇 토큰을 정기적으로 변경하도록 요구하지는 않지만, 특히 봇 사용자가 많을 때 일반 토큰을 개발하는 것이 필수적이라고 생각합니다.

 봇 요청은 요청에 따른 권한을 요청합니다

두뇌 없이는 그것을 요구하지 마십시오불화 서버의 "관리자"권한은 봇이 사용해야하는 기능을 확인한 다음 해당 권한을 요청합니다. 이런 식으로 봇이 해킹 되더라도 특정 범위 내에서 손상이 제어됩니다.

개발자의 전반적인 원칙은 보장하는 것입니다봇 토큰 보안 및 봇 허가에 대한 최소 요청.