최근에 본Discord 보안 문제가 자주 발생합니다. 이 글에서는 Discord 보안을 주제로 Discord의 보안 문제를 공유합니다.

실제로디스코드의 보안 문제는 오랫동안 비판을 받아왔지만, 디스코드가 너무 개방적이기 때문에 이를 전적으로 디스코드 탓으로 돌릴 수는 없습니다. 원래 Android와 마찬가지로 모든 앱은 시스템의 거의 모든 권한을 얻을 수 있습니다. 따라서 앱에 보안 위험이 있으면 전체 시스템에도 보안 위험이 있습니다. Discord의 세 가지 역할(일반 사용자, 운영자, 개발자)에 대해 말하자면, 어느 쪽이든 보안에 주의를 기울이지 않으면 보안 문제가 발생하게 됩니다.

안전은 작은 문제가 아닙니다. 이 글이 위의 세 가지 역할에 대해 독자들에게 도움이 되기를 바랍니다.

일반 사용자의 경우Discord 사용자는 주로 Discord에 피싱 웹사이트 메시지가 너무 많기 때문에 손실을 입습니다. 따라서 일반 사용자는 피싱을 피하기 위해서는 다음 사항에 주의해야 합니다.

비공개 메시지 닫기

이 옵션이 켜져 있으면Discord 회원은 귀하와 직접 비공개 채팅을 시작할 수 있으며, 이러한 회원의 아바타와 계정은 Discord에서 볼 수 있는 관리자와 정확히 동일할 수 있습니다. 이때는 경계심을 늦추고 이 계정을 신뢰하면 링크를 보낼 때 피싱에 성공할 수 있습니다.

또한, 친구 요청에도 주의를 기울여야 합니다. 최근에 나는오픈씨 디스코드에 질문을 해보니 친구추가를 요청한 아바타와 계정이 디스코드 관리자 계정과 정확히 일치하는 것으로 나왔습니다. 그냥 이 상황을 무시하세요.

알 수 없는 링크는 클릭하지 마세요

이 스크린샷은공식 OpenSea Discord의 메시지는 OpenSea가 YouTube와 협력하여 NFT를 발행할 것이며 무료 장소는 100개뿐이라는 것입니다. 초보 사용자는 이 뉴스를 보고 즉시 FOMO를 느낄 수 있습니다. 스크린샷의 링크를 클릭하면 보이는 웹사이트는 다음과 같습니다.

도메인 이름과 웹사이트가 괜찮은 것을 보고 100곳밖에 없다고 생각하면 빠르게 Claim을 클릭하여 Mint를 얻을 수 있지만, 거래를 실행한 후에는 NFT가 손실됩니다.

그러니 이런 뉴스를 접할 땐 주의가 필요합니다. 일반적으로 각 프로젝트 당사자가 발행하는NFT의 경우 사전에 소식이 공개될 예정입니다. 갑자기 NFT가 출시된다는 이런 소식은 일반적으로 거짓입니다.

피싱 웹사이트를 식별하는 방법

때로는Discord에서 링크를 보낸 사람이 누구인지(그룹 친구, 관리자, 로봇이 보낸 링크일 수 있음)에 관계없이 클릭하기 전에 먼저 방문한 도메인 이름이 프로젝트의 공식 도메인 이름인지 확인해야 합니다. 그렇지 않은 경우 클릭하여 입력한 후 매우 주의해야 합니다.

사이트가 떠오르는 경우MetaMask의 팝업창은 아래 그림과 같이 안전한 지갑 주소만 확인하도록 요청합니다.

 이 작업은 웹사이트에 귀하의 지갑 주소를 볼 수 있는 권한만 부여하며 귀하의 자산에 대한 다른 작업은 수행하지 않습니다.

웹사이트를 계속 탐색하면서 지갑 관련 작업을 수행해야 하는 경우 특별한 주의가 필요합니다. 일반적으로 웹사이트는 귀하의 관심을 불러일으킵니다.MetaMask에는 총 다음과 같은 작업 유형이 있습니다.

옮기다

돈을 이체할 때메타마스크 팝업창

웹사이트에서 스크린샷에 이체요청이 뜨는 경우, 이체 대상 주소가 이체하려는 주소인지, 이체금액이 맞는지 주의 깊게 살펴봐야 합니다.

송금의 경우 상대적으로 간단합니다. 지불 주소와 금액만 결정하면 됩니다.

징후

일반적으로 서명을 얻는 목적은 예를 들어 지갑 주소를 소유하고 있음을 증명하는 것입니다.디스코드에는 Collabland라는 로봇이 있습니다. 서명을 사용하여 귀하가 지갑 주소를 소유하고 있는지, 지갑 주소에 NFT가 포함되어 있는지 확인합니다. 확인이 통과되면 홀더 신원 인증서가 제공됩니다.

표시되는 서명 내용을 일반 텍스트로 읽을 수 있으면 문제가 없습니다. 이 구절이 무엇을 의미하는지 이해할 수 있습니다. 하지만 무분별한 서명은 자산 손실로 이어질 수도 있으니 주의하시기 바랍니다.

하지만 당신이 보는 서명 내용이 위의 스크린샷과 같고 그것이 무엇인지 이해하지 못한다면 하지 마세요. 위 팝업창의 서명 내용은 OpenSea의 매도 주문 서명인데, 공격자가 매도 주문 가격을 0.001E로 설정할 수 있기 때문입니다. 피싱 웹사이트에서 실수로 서명한 경우, 귀하의 NFT가 피싱업자에게 저렴한 가격으로 판매될 수 있습니다.

따라서 메시지 서명에는 일반적인 원칙이 있습니다. 이해할 수 있다면 서명하세요. 이해가 안 된다면 서명하지 마세요.

계약 통화

많은 웹사이트에서 모두가 접하게 되는 것은 다음과 같은 계약 호출입니다.민트 NFT 등과 같은 작업

 컨트랙트 콜인 경우 가장 먼저 확인해야 할 것은 호출되는 "컨트랙트 주소"가 공식적으로 공표된 컨트랙트 주소인지 여부입니다. 계약 주소가 올바른지 확인한 후 호출 계약의 "함수 유형"을 확인할 수 있습니다. "호출 기능" 유형에 승인, setApprovalForAll, 전송, safeTransferFrom 등과 같은 단어가 표시되는 경우 가장 일반적인 피싱 방법이기도 한 다른 사람이 귀하의 자산을 전송하도록 허용하는 권한을 부여하므로 주의해야 합니다.

따라서 계약 호출에 대한 전반적인 원칙은 계약 주소가 올바른지 확인하고 작업 유형이 아닌지 확인하는 것입니다.승인, setApprovalForAll, 전송, safeTransferFrom 등과 같은 단어입니다.

운영자용

대부분의 시나리오에서 위의 작업을 수행하면 일반 사용자는 함정을 피할 수 있지만디스코드 운영자는 커뮤니티 구성원의 안전을 보호하고 운영자의 보안 과실로 인한 사용자의 손실을 방지하기 위해 일반 사용자보다 더 많은 책임을 져야 합니다. Discord 운영자의 경우 다음 사항에 유의해야 합니다.

켜다2FA

켜지지 않음2FA의 경우 계정 비밀번호가 유출되면 공격자는 관리자 계정을 이용해 피싱 정보를 유포할 수 있다.

낯선 링크는 클릭하지 마세요

현재 대상으로 확인된 사항은 다음과 같습니다.Discord 관리자 피싱 웹사이트. 관리자가 웹사이트에 진입하여 지시를 받은 후, 공격자는 관리자의 Discord 세션을 획득하게 됩니다. 공격자는 해당 세션을 이용해 2FA와 로그인 인증을 우회하고 Discord 커뮤니티를 관리자로 직접 장악할 수 있습니다. 다음 트윗에는 자세한 분석이 포함되어 있으므로 관심 있는 친구들이 살펴볼 수 있습니다.

최대한 적게 소개봇

각 추가 커뮤니티마다봇은 추가적인 보안 위험을 가져옵니다. 공격자가 사용하는 모든 봇은 커뮤니티의 Discord에 대해 SCAM 공격을 시작할 수 있습니다.

Crepto 커뮤니티에서는 보유자의 신원을 확인하기 위해 외부 봇인 CollabLand를 하나만 도입했습니다. 결국 Discord에서는 이미 표준입니다. 다른 봇을 사용할 필요가 없는 경우 Crepto 커뮤니티에서는 더 이상 해당 봇을 소개하지 않습니다.

소개하다봇에 권한이 너무 많습니다

Discord 관리자는 봇을 도입할 때 봇이 요청하는 서버 권한에 주의를 기울이고 최소 권한 원칙을 준수해야 합니다. 단순한 기능을 갖춘 봇이 관리자 권한이 필요한 것으로 확인되면 도입하지 않는 것이 가장 좋습니다. 왜냐하면 이 봇의 프로젝트 측이 공격을 받으면 기껏해야 Discord 커뮤니티에 스팸 메시지를 보낼 뿐이고 최악의 경우 모든 사용자를 제외하고 모든 채널과 기록을 삭제할 수 있기 때문입니다.

위의 내용은 소개입니다CollabLand Bot이 서버에 대한 권한을 요청합니다. CollabLand Bot은 "관리자"라는 최고 권한의 승인이 필요합니다. CollabLand Bot의 기능은 인증 보유자에게 특정 역할을 부여하는 것입니다. 사실 CollabLand Bot은 Member와 Role을 관리하기 위한 권한만 요구하면 되는데 왜 가장 높은 권한을 요구하는지 모르겠네요. 아는 친구들도 알려줬으면 좋겠다.

그래서Discord 관리자의 경우 Discord의 보안은 주로 다음 사항에 있습니다.

관리자 계정 보안

봇 보안

관리자 계정의 보안은 팀이 보안 의식을 높여야 확보할 수 있지만,Bots의 보안에 대해 관리자가 할 수 있는 일은 없기 때문에 관리자는 Bots를 최대한 적게 사용하고 최소한의 권한만 부여한다는 원칙을 고수해야만 이를 처리할 수 있습니다.

개발자용봇의 토큰은 안전해야 합니다

Discord 개발자는 모두 봇의 생명선이 토큰에 있다는 것을 알고 있습니다. 공격자가 토큰을 획득한 후 공격자는 Bot을 사용하여 원하는 모든 작업을 수행할 수 있으므로 지갑의 개인 키 보안에 주의를 기울이는 만큼 Bot의 토큰에도 주의를 기울여야 합니다.

달리다봇 서버 보안

서버 보안이라는 주제는 무한히 확장될 수 있지만 다음은 상기시켜드리는 내용입니다.Bot Token의 보안은 매우 중요합니다. 봇은 서버에서 실행되므로 서버가 손상되면 토큰도 유출됩니다. 물론, 봇이 획득한 디스코드의 모든 데이터도 유출됩니다.

주기적으로 바꾸는 습관을 들이세요토큰 습관

일부 웹사이트에서는 정기적으로 사용자에게 비밀번호 변경을 요구하는 것과 같습니다.Discord는 개발자에게 정기적으로 Bot의 토큰을 변경하도록 강요하지는 않지만, 특히 Bot 사용자가 많은 경우 정기적으로 Token을 변경하는 습관을 기르는 것이 중요하다고 생각합니다.

 봇이 요청 시 권한을 요청합니다.

아무 생각 없이 요구하지 마세요Discord 서버의 "관리자" 권한을 확인하고 봇이 어떤 기능을 사용해야 하는지 확인한 후 해당 권한을 요청하세요. 이렇게 하면 Bot이 해킹되더라도 피해 정도가 일정 범위 내에서 제어됩니다.

개발자의 전반적인 원칙은 다음을 보장하는 것입니다.Bot 토큰의 보안 및 Bot 권한에 대한 최소 요구 사항입니다.