Вопросы безопасности о Discord

Видно недавноПроблемы безопасности Discord часто возникают. В этой статье используется безопасность Discord в качестве темы, которой можно поделиться с вами вопросами безопасности на Discord.

ФактическиПроблемы безопасности Discord были подвергнуты критике в течение длительного времени, но это не может быть полностью обвинено, потому что Discord слишком открыт. Как и оригинальное Android, любое приложение может получить почти все разрешения системы. Таким образом, любое приложение имеет риски безопасности, и вся система будет иметь риски безопасности. Говоря о трех ролях Discord (обычный пользователь, оператор, разработчик), неспособность обратить внимание на безопасность также приведет к вопросам безопасности.

Независимо от того, чтобы быть в безопасности, я надеюсь, что эта статья поможет читателям из трех вышеупомянутых персонажей.

Для обычных пользователейОсновная причина, по которой пользователи, находящиеся в Discord, состоит в том, что слишком много информации о фишинговых веб -сайтах о Discord, поэтому для обычных пользователей, чтобы избежать фаната, на следующие моменты следует обратить внимание на:

Закрыть личное сообщение

Если этот вариант включен,Участники Discord могут напрямую инициировать для вас частные чаты, а аватары и учетные записи этих членов могут быть точно такими же, как и администраторы, которых вы видите в Discord. В настоящее время вы можете ослабить свою бдительность и легко доверять этой учетной записи, поэтому, когда они отправляют ссылку на вас, вы можете быть успешно проведены.

Кроме того, друзья должны обратить внимание на запросы. Я былЯ задал вопрос в раздоре Opensea, и в результате аватар и аккаунт точно такие же, как и администратор Discord, чтобы попросить добавить друзей. Просто игнорируйте эту ситуацию напрямую.

Не нажимайте на какие -либо неизвестные ссылки

Этот скриншот естьНовости в официальном разногласии Opensea заключается в том, что OpenSea будет сотрудничать с YouTube для выпуска NFT, с всего 100 свободных мест. Когда начинающий пользователь видит это сообщение, он может сразу же Фомо. Нажав на ссылку на скриншоте, веб -сайт, который он видел, вероятно, выглядит так.

Хорошо видеть доменное имя и веб -сайт. Когда вы думаете, что есть только 100 мест, вы также можете нажать претензии, чтобы захватить мяту, но после выполнения транзакции ваш NFT будет потерян.

Поэтому вы должны быть бдительными, когда видите такие новости. Вообще говоря, каждая партия проекта выдает это.Если вы хотите опубликовать NFT, вы будете выпустить сообщения заранее. Такие новости, которые вдруг говорят вам публиковать NFT, как правило, подделка.

Как судить о фишинговом веб -сайте

Иногда вКогда вы видите ссылку, отправленную тем, кто вы отправляете (может быть, ссылка, отправленная членами группы, администраторами или роботами), вам нужно посмотреть, является ли доменное имя, которое вы посетите, является официальным доменным именем проекта, прежде чем нажать. Если нет, вы должны быть очень бдительными после нажатия:

Если сайт вызываетВнутреннее окно Metamask просто требует просмотра адреса вашего кошелька, который безопасен, например, следующая картина:

 Эта операция заключается в том, чтобы просто разрешить веб -сайт просмотреть адрес вашего кошелька и не иметь никаких других операций в ваших активах.

Когда вы продолжаете просматривать этот веб-сайт и необходимо выполнять операции, связанные с кошельком, вам необходимо уделять особое внимание. Как правило, веб -сайты звонят вамMetamask имеет несколько типов операций:

передача

При передаче денегМетамаска всплывающее окно

Если веб -сайт разбудит запрос на передачу на снимке экрана, вам необходимо обратить внимание на то, является ли адрес назначения передачи адресом, который вы хотите перенести, и верна ли сумма передачи.

Это относительно просто для переводов, просто определите адрес и сумма сбора.

знак

Как правило, цель получения подписи состоит в том, чтобы доказать, что у вас есть адрес кошелька, например,В Discord есть робот под названием Collabland. Он использует подпись, чтобы убедиться, что у вас есть адрес кошелька и что адрес кошелька имеет NFT. После того, как проверка будет передана, вам будет предоставлена ​​аутентификация личности держателя.

Если контент, который вы видите, читается в таком простом тексту, нет никаких проблем. Вы можете понять, что означает этот отрывок. Но обращение внимания на случайные подписи также приведет к потерям активов.

Но если вы видите контент подписи, как на скриншоте выше, и не понимаете, что это такое, не работайте. Поскольку содержание подписи во всплывающем окне выше является подписью OpenSea по заказу на продажу, но атакующий может быть установлена ​​на 0,001E. Если вы случайно подпишите это на фишинговом веб -сайте, ваш NFT может быть продан фишеру по низкой цене.

Поэтому существует общий принцип для подписания сообщений: подписать, если вы можете понять их, и не подписывайте, если не можете.

Контрактный звонок

На многих веб -сайтах встречается больше ситуаций, таких какМонетный двор NFT и другие операции.

 Если это контрактный звонок, первое, что вам нужно определить, это то, является ли «адрес контракта» официально объявленным адресом контракта. После подтверждения адреса контракта вы рассмотрите «тип функции» контракта. Если тип «функции вызова» показывает такие слова, как утверждение, SetApprovalforall, Transfer, SafeTransferfrom и т. Д., Вы должны быть бдительными, потому что это разрешение, позволяющее другим передавать ваши активы, что также является наиболее распространенным способом фишинга.

Следовательно, общий принцип для контрактных вызовов: подтвердите, что адрес договора является правильным, и подтвердите, что тип операции не являетсяУтвердить, setApprovalforall, transfer, safetransferfrom и другие слова.

Для операторов

Для большинства сценариев обычные пользователи могут избежать ловушек, но какОператоры дискордов должны защищать безопасность членов сообщества более ответственно, чем обычные пользователи, чтобы избежать убытков, вызванных халатностью операторов в безопасности. Для операторов дискордов есть также следующие моменты, чтобы обратить внимание на:

Открыть2FA

Не включено2FA, как только пароль учетной записи протекает, злоумышленник может использовать учетную запись администратора для публикации фишинговой информации.

Не нажимайте на незнакомые ссылки

В настоящее время считается целевымАдминистраторы дискордов фиш на веб -сайте. После того, как администратор выйдет на веб -сайт и будет руководствоваться, злоумышленник получит сессию Discord. Злоумышленник может использовать сеанс для обхода 2FA и проверки входа в систему и напрямую захватить сообщество Discord в качестве администратора. Следующие твиты имеют подробный анализ, и заинтересованные друзья могут посмотреть.

Попробуйте ввести как можно меньшеБот

Добавить один для сообществаБот принесет больше рисков безопасности. Любой бот, который эксплуатируется злоумышленником, может начать атаку мошенничества на разногласия сообщества.

Сообщество Crepto представило только внешнего бота Collabland, чтобы проверить идентичность держателя, в конце концов, это уже стандартная конфигурация Discord. Если другие боты не требуются, сообщество Crepto больше не будет введено.

ВведеноРазрешения на бота слишком велики

При введении ботов администраторы дискордов должны обратить внимание на разрешения на сервер, запрашиваемые ботами, и придерживаться принципа минимального авторизации. Если вы найдете бота с простыми функциями, требуются разрешения администратора, лучше не представить их. Потому что, если проектная сторона этого бота подвергается нападению, по крайней мере, она просто отправляет спам -сообщения в ваше сообщество Discord, и, в худшем случае, она может устранить всех пользователей и удалить все каналы и записи.

Выше приведеноБот Collabland требует наивысшего полномочия для получения сервера. Бот Collabland требует разрешения «администратора». Функция бота Collabland заключается в том, чтобы предоставить определенную роль сертифицированному держателю. На самом деле, Collabland Bot должен только получить разрешения на управление участниками и ролью, но я не знаю, почему требуется самое высокое разрешение? Я надеюсь, что друзья, которые это знают, дадут вам знать.

Так дляДля менеджеров по разногласию, безопасность Discord в основном заключается в:

Безопасность учетной записи менеджера

Безопасность бота

Безопасность учетной записи менеджера может быть обеспечена командой для повышения осведомленности о безопасности, ноБезопасность ботов бессильна для менеджеров, поэтому менеджеры могут справиться с ней, только придерживаясь принципа использования меньшего количества ботов и предоставляя меньше разрешения.

Для разработчиковТокен бота должен быть в безопасности

Разработчики Discord знают, что жизнь бота контролируется токеном. После того, как знак получен атакующим, злоумышленник может использовать вашего бота, чтобы сделать все, что он хочет, поэтому он должен обратить внимание на токен бота так же, как обратить внимание на безопасность частного ключа кошелька.

бегатьБезопасность сервера бота

Тема безопасности сервера может быть неограниченной, но вот напоминание.Безопасность токена бота очень важна. BOT работает на сервере, поэтому разбивка сервера означает, что токен также просочился, и, конечно, все данные о Discord, полученных BOT, также просочились.

Заменить регулярноПривычки токена

Так же, как некоторые веб -сайты регулярно требуют, чтобы пользователи меняли свои пароли, хотяDiscord не предписывает разработчикам регулярно менять токены бота, но я думаю, что важно разрабатывать регулярные токены, особенно когда пользователи ваших ботов велики.

 Разрешения на запрос бота по требованию

Не просите об этом без мозгаРазрешения «администратора» сервера Discord подтвердите, какие функции необходимо использовать вашему боту, а затем запросить соответствующие разрешения. Таким образом, даже если ваш бот взломан, повреждение будет контролироваться в определенном диапазоне.

Общий принцип разработчиков - обеспечитьБезопасность токена бота и минимальный запрос на разрешения вашего бота.