Sign Up
เห็นเมื่อเร็ว ๆ นี้ปัญหาด้านความปลอดภัยของ Discord เกิดขึ้นบ่อยครั้ง บทความนี้ใช้ความปลอดภัยของ Discord เป็นหัวข้อที่จะแบ่งปันปัญหาด้านความปลอดภัยกับคุณใน Discord
ในความเป็นจริงปัญหาด้านความปลอดภัยของ Discord ได้รับการวิพากษ์วิจารณ์มาเป็นเวลานาน แต่สิ่งนี้ไม่สามารถตำหนิได้อย่างสมบูรณ์เพราะความไม่ลงรอยกันเปิดกว้างเกินไป เช่นเดียวกับ Android ดั้งเดิมแอพใด ๆ สามารถได้รับสิทธิ์เกือบทั้งหมดของระบบ ดังนั้นแอพใด ๆ ที่มีความเสี่ยงด้านความปลอดภัยและระบบทั้งหมดจะมีความเสี่ยงด้านความปลอดภัย การพูดถึงสามบทบาทของความไม่ลงรอยกัน (ผู้ใช้ทั่วไปผู้ประกอบการผู้พัฒนา) ความล้มเหลวในการให้ความสนใจกับความปลอดภัยจะนำไปสู่ปัญหาด้านความปลอดภัย
ฉันหวังว่าบทความนี้จะช่วยให้ผู้อ่านของตัวละครสามตัวข้างต้น
สำหรับผู้ใช้ทั่วไปเหตุผลหลักที่ทำให้ผู้ใช้ใน Discord ต้องทนทุกข์คือมีข้อมูลมากเกินไปเกี่ยวกับเว็บไซต์ฟิชชิ่งเกี่ยวกับความไม่ลงรอยกันดังนั้นสำหรับผู้ใช้ทั่วไปเพื่อหลีกเลี่ยงการถูกฟิช
ปิดข้อความส่วนตัว
หากตัวเลือกนี้เปิดอยู่สมาชิก Discord สามารถเริ่มการแชทส่วนตัวโดยตรงกับคุณและอวตารและบัญชีของสมาชิกเหล่านี้อาจเหมือนกับผู้ดูแลระบบที่คุณเห็นใน Discord ในเวลานี้คุณอาจผ่อนคลายความระมัดระวังและไว้วางใจบัญชีนี้ได้อย่างง่ายดายดังนั้นเมื่อพวกเขาส่งลิงค์ให้คุณคุณอาจประสบความสำเร็จ
นอกจากนี้เพื่อนต้องให้ความสนใจกับคำขอ ฉันเคยมีการถามคำถามในความไม่ลงรอยกันของ OpenSea และผลลัพธ์ก็คืออวตารและบัญชีนั้นเหมือนกับผู้ดูแลระบบ Discord เพื่อขอเพิ่มเพื่อน เพียงเพิกเฉยต่อสถานการณ์นี้โดยตรง
อย่าคลิกที่ลิงค์ที่ไม่รู้จักใด ๆ
ภาพหน้าจอนี้คือข่าวในความไม่ลงรอยกันอย่างเป็นทางการของ OpenSea คือ OpenSea จะร่วมมือกับ YouTube เพื่อออก NFTs โดยมีเพียง 100 แห่งเท่านั้น เมื่อผู้ใช้มือใหม่เห็นข้อความนี้เขาอาจ fomo ทันที หลังจากคลิกที่ลิงค์ในภาพหน้าจอเว็บไซต์ที่เขาเห็นอาจมีลักษณะเช่นนี้
ไม่เป็นไรที่จะเห็นชื่อโดเมนและเว็บไซต์ เมื่อคุณคิดว่ามีเพียง 100 สถานที่คุณอาจคลิกเรียกร้องให้คว้ามิ้นต์ แต่หลังจากดำเนินการธุรกรรม NFT ของคุณจะหายไป
ดังนั้นคุณต้องระมัดระวังเมื่อคุณเห็นข่าวประเภทนี้ โดยทั่วไปการพูดแต่ละโครงการจะออกหากคุณต้องการเผยแพร่ NFT คุณจะปล่อยข้อความล่วงหน้า ข่าวประเภทนี้ที่บอกให้คุณเผยแพร่ NFT โดยทั่วไปเป็นของปลอม
วิธีตัดสินเว็บไซต์ฟิชชิง
บางครั้งในเมื่อคุณเห็นลิงก์ที่ส่งโดยใครก็ตามที่คุณส่ง (อาจลิงก์ที่ส่งโดยสมาชิกกลุ่มผู้ดูแลระบบหรือหุ่นยนต์) คุณต้องดูว่าชื่อโดเมนที่คุณเยี่ยมชมเป็นชื่อโดเมนอย่างเป็นทางการของโครงการก่อนคลิก ถ้าไม่คุณต้องระมัดระวังมากหลังจากคลิก:
หากไซต์โทรหน้าต่างป๊อปอัพ Metamask เพียงต้องการให้คุณดูที่อยู่กระเป๋าเงินของคุณซึ่งปลอดภัยเช่นรูปภาพต่อไปนี้:
การดำเนินการนี้เป็นเพียงการอนุญาตให้เว็บไซต์ดูที่อยู่กระเป๋าเงินของคุณและจะไม่มีการดำเนินการอื่น ๆ ในสินทรัพย์ของคุณ
เมื่อคุณท่องเว็บต่อไปในเว็บไซต์นี้และจำเป็นต้องดำเนินการที่เกี่ยวข้องกับกระเป๋าเงินคุณต้องให้ความสนใจเป็นพิเศษ โดยทั่วไปเว็บไซต์โทรหาคุณMetamask มีการดำเนินการหลายประเภท:
โอนย้าย
เมื่อโอนเงินหน้าต่างป๊อปอัพ Metamask
หากเว็บไซต์ตื่นขึ้นมาคำขอการโอนบนภาพหน้าจอคุณต้องให้ความสนใจว่าที่อยู่ปลายทางของการถ่ายโอนเป็นที่อยู่ที่คุณต้องการโอนออกและจำนวนการโอนนั้นถูกต้องหรือไม่
มันค่อนข้างง่ายสำหรับการถ่ายโอนเพียงกำหนดที่อยู่และจำนวนการรวบรวม
เข้าสู่ระบบ
โดยทั่วไปจุดประสงค์ในการรับลายเซ็นคือการพิสูจน์ว่าคุณมีที่อยู่กระเป๋าเงินเช่นมีหุ่นยนต์ชื่อ Collabland ใน Discord มันใช้ลายเซ็นเพื่อตรวจสอบว่าคุณมีที่อยู่กระเป๋าเงินและที่อยู่กระเป๋าเงินมี NFT หลังจากผ่านการตรวจสอบแล้วคุณจะได้รับการตรวจสอบตัวตนของผู้ถือ
หากเนื้อหาลายเซ็นที่คุณเห็นสามารถอ่านได้ในข้อความธรรมดาดังกล่าวไม่มีปัญหา คุณสามารถเข้าใจว่าข้อความนี้หมายถึงอะไร แต่การให้ความสนใจกับลายเซ็นแบบสุ่มจะนำไปสู่การสูญเสียสินทรัพย์
แต่ถ้าคุณเห็นเนื้อหาลายเซ็นเช่นภาพหน้าจอด้านบนและไม่เข้าใจว่ามันคืออะไรอย่าใช้งาน เนื่องจากเนื้อหาลายเซ็นของหน้าต่างป๊อปอัพด้านบนเป็นลายเซ็นคำสั่งขายของ OpenSea แต่ราคาของคำสั่งขายอาจถูกตั้งค่าเป็น 0.001E โดยผู้โจมตี หากคุณลงนามในเว็บไซต์ฟิชชิ่งโดยไม่ตั้งใจ NFT ของคุณอาจถูกขายให้กับ Phisher ในราคาต่ำ
ดังนั้นจึงมีหลักการทั่วไปสำหรับการลงนามในข้อความ: ลงชื่อเข้าใช้หากคุณสามารถเข้าใจได้และไม่ลงนามว่าคุณไม่สามารถ
โทรสัญญา
มีการพบสถานการณ์เพิ่มเติมในหลาย ๆ เว็บไซต์เช่นมิ้นต์ NFT และการดำเนินการอื่น ๆ
หากเป็นการโทรสัญญาสิ่งแรกที่คุณต้องพิจารณาคือ "ที่อยู่สัญญา" เป็นที่อยู่ตามสัญญาที่ประกาศอย่างเป็นทางการหรือไม่ หลังจากยืนยันว่าที่อยู่สัญญานั้นไม่มีปัญหาแล้วดูที่ "ประเภทฟังก์ชัน" ของสัญญา หากประเภท "ฟังก์ชั่นการโทร" แสดงคำเช่นอนุมัติ, setApprovalforall, โอน, safetransferfrom, ฯลฯ คุณต้องระมัดระวังเพราะนี่คือการอนุญาตให้ผู้อื่นถ่ายโอนสินทรัพย์ของคุณซึ่งเป็นวิธีการฟิชชิ่งที่พบได้บ่อยที่สุด
ดังนั้นหลักการโดยรวมสำหรับการโทรสัญญาคือ: ยืนยันว่าที่อยู่สัญญานั้นถูกต้องและยืนยันว่าประเภทการดำเนินการไม่ใช่อนุมัติ, setApprovalforall, โอน, safetransferfrom และคำอื่น ๆ
สำหรับผู้ประกอบการ
สำหรับสถานการณ์ส่วนใหญ่ผู้ใช้ทั่วไปสามารถหลีกเลี่ยงข้อผิดพลาดได้ แต่เป็นผู้ประกอบการ Discord จำเป็นต้องปกป้องความปลอดภัยของสมาชิกชุมชนอย่างมีความรับผิดชอบมากกว่าผู้ใช้ทั่วไปเพื่อหลีกเลี่ยงการสูญเสียที่เกิดจากความประมาทเลินเล่อของผู้ประกอบการในด้านความปลอดภัย สำหรับผู้ให้บริการ Discord มีประเด็นต่อไปนี้ที่จะให้ความสนใจกับ:
เปิด2FA
ไม่เปิดใช้งาน2FA เมื่อรหัสผ่านบัญชีรั่วไหลผู้โจมตีสามารถใช้บัญชีของผู้ดูแลระบบเพื่อเผยแพร่ข้อมูลฟิชชิ่ง
อย่าคลิกที่ลิงค์ที่ไม่คุ้นเคย
ปัจจุบันพบว่ามีการกำหนดเป้าหมายผู้ดูแลระบบ Discord Phish เว็บไซต์ หลังจากผู้ดูแลระบบเข้าสู่เว็บไซต์และได้รับคำแนะนำผู้โจมตีจะได้รับเซสชัน Discord ของผู้ดูแลระบบ ผู้โจมตีสามารถใช้เซสชันเพื่อข้าม 2FA และการตรวจสอบเข้าสู่ระบบและเข้ายึดชุมชน Discord โดยตรงในฐานะผู้ดูแลระบบ ทวีตต่อไปนี้มีการวิเคราะห์โดยละเอียดและเพื่อนที่สนใจสามารถดูได้
พยายามแนะนำให้น้อยที่สุดบอท
เพิ่มหนึ่งสำหรับชุมชนบอทจะนำความเสี่ยงด้านความปลอดภัยมากขึ้น บอทใด ๆ ที่ถูกเอารัดเอาเปรียบโดยผู้โจมตีสามารถเปิดการโจมตีหลอกลวงต่อความไม่ลงรอยกันของชุมชน
ชุมชน Crepto ได้แนะนำบอทภายนอกเท่านั้น Collabland เพื่อตรวจสอบตัวตนของผู้ถือหลังจากทั้งหมดมันเป็นการกำหนดค่ามาตรฐานสำหรับ Discord อยู่แล้ว หากไม่จำเป็นต้องมีบอทอื่นชุมชน Crepto จะไม่ถูกนำมาใช้อีกต่อไป
ที่ได้รับการแนะนำการอนุญาตบอทมีขนาดใหญ่เกินไป
เมื่อผู้ดูแลระบบ Discord แนะนำบอทเขาต้องให้ความสนใจกับการอนุญาตเซิร์ฟเวอร์ที่ร้องขอโดยบอทและปฏิบัติตามหลักการของการอนุญาตขั้นต่ำ หากบอทที่มีฟังก์ชั่นง่าย ๆ ต้องใช้สิทธิ์ของผู้ดูแลระบบก็เป็นการดีที่สุดที่จะไม่แนะนำ เพราะถ้าพรรคโครงการของบอทนี้ถูกโจมตีอย่างน้อยก็จะส่งข้อความสแปมไปยังชุมชน Discord ของคุณและที่เลวร้ายที่สุดก็สามารถกำจัดผู้ใช้ทั้งหมดและลบทุกช่องทางและบันทึก
มีการแนะนำข้างต้นCollabland Bot ต้องการอำนาจสูงสุดในการรับเซิร์ฟเวอร์ Collabland Bot ต้องการการอนุญาตของ "ผู้ดูแลระบบ" ฟังก์ชั่นของ Collabland Bot คือการให้บทบาทบางอย่างแก่ผู้ถือที่ได้รับการรับรอง ในความเป็นจริง Collabland Bot ต้องได้รับสิทธิ์ในการจัดการสมาชิกและบทบาทเท่านั้น แต่ฉันไม่รู้ว่าทำไมต้องได้รับอนุญาตสูงสุด ฉันหวังว่าเพื่อนที่รู้ว่าจะแจ้งให้คุณทราบ
ดังนั้นสำหรับผู้จัดการ Discord ความปลอดภัยของ Discord ส่วนใหญ่อยู่ใน:
ความปลอดภัยของบัญชีผู้จัดการ
ความปลอดภัยของบอท
ความปลอดภัยของบัญชีของผู้จัดการสามารถมั่นใจได้โดยทีมเพื่อปรับปรุงการรับรู้ด้านความปลอดภัย แต่ความปลอดภัยของบอทนั้นไม่มีอำนาจสำหรับผู้จัดการดังนั้นผู้จัดการสามารถจัดการได้โดยการยึดติดกับหลักการของการใช้บอทน้อยลงและให้สิทธิ์น้อยลง
สำหรับนักพัฒนาโทเค็นของบอทจะต้องปลอดภัย
นักพัฒนา Discord ทุกคนรู้ว่าเส้นชีวิตของบอทถูกควบคุมโดยโทเค็น หลังจากผู้โจมตีได้รับโทเค็นผู้โจมตีสามารถใช้บอทของคุณเพื่อทำสิ่งที่เขาต้องการดังนั้นเขาจึงต้องใส่ใจกับโทเค็นของบอทมากที่สุดเท่าที่เขาให้ความสนใจกับความปลอดภัยของคีย์ส่วนตัวในกระเป๋าเงิน
วิ่งความปลอดภัยของเซิร์ฟเวอร์ของบอท
หัวข้อความปลอดภัยของเซิร์ฟเวอร์สามารถไม่ จำกัด แต่นี่คือการเตือนความจำความปลอดภัยของโทเค็นบอทเป็นสิ่งสำคัญมาก บอททำงานบนเซิร์ฟเวอร์ดังนั้นการสลายตัวของเซิร์ฟเวอร์หมายความว่าโทเค็นก็รั่วไหลออกมาและแน่นอนว่าข้อมูลทั้งหมดเกี่ยวกับความไม่ลงรอยกันที่ได้รับจากบอทก็รั่วไหลออกมาเช่นกัน
เปลี่ยนเป็นประจำนิสัยของโทเค็น
เช่นเดียวกับบางเว็บไซต์ที่กำหนดให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นประจำแม้ว่าDiscord ไม่ได้สั่งให้นักพัฒนาเปลี่ยนโทเค็นของบอทเป็นประจำ แต่ฉันคิดว่ามันเป็นสิ่งสำคัญในการพัฒนาโทเค็นปกติโดยเฉพาะอย่างยิ่งเมื่อผู้ใช้บอทของคุณมีขนาดใหญ่
ใบอนุญาตขอบอทตามความต้องการ
อย่าขอมันโดยไม่มีสมองสิทธิ์ "ผู้ดูแลระบบ" ของเซิร์ฟเวอร์ Discord ยืนยันว่าฟังก์ชั่นบอทของคุณต้องใช้อะไรแล้วขอสิทธิ์ที่เกี่ยวข้อง ด้วยวิธีนี้แม้ว่าบอทของคุณจะถูกแฮ็กความเสียหายจะถูกควบคุมในช่วงที่กำหนด
หลักการโดยรวมสำหรับนักพัฒนาคือเพื่อให้แน่ใจความปลอดภัยของโทเค็นบอทและคำขอขั้นต่ำสำหรับการอนุญาตบอทของคุณ
数҈字҈星҈球҈͏
