Câu hỏi bảo mật về Discord

Đã thấy gần đâyCác vấn đề bảo mật của Discord thường xuyên xảy ra. Bài viết này sử dụng bảo mật của Discord làm chủ đề để chia sẻ với bạn các vấn đề bảo mật về Discord.

Trong thực tếCác vấn đề bảo mật của Discord đã bị chỉ trích trong một thời gian dài, nhưng điều này không thể bị đổ lỗi hoàn toàn, bởi vì Discord quá cởi mở. Giống như Android gốc, bất kỳ ứng dụng nào cũng có thể nhận được gần như tất cả các quyền của hệ thống. Do đó, bất kỳ ứng dụng nào cũng có rủi ro bảo mật và toàn bộ hệ thống sẽ có rủi ro bảo mật. Nói về ba vai trò của Discord (người dùng thông thường, nhà điều hành, nhà phát triển), việc không chú ý đến bảo mật cũng sẽ dẫn đến các vấn đề bảo mật.

Nó không phải là vấn đề nhỏ để được an toàn, tôi hy vọng bài viết này có thể giúp độc giả của ba nhân vật trên.

Cho người dùng bình thườngLý do chính khiến người dùng bị Discord phải chịu là có quá nhiều thông tin về các trang web lừa đảo trên Discord, vì vậy đối với người dùng thông thường, để tránh bị đánh bại, các điểm sau nên được chú ý đến:

Đóng tin nhắn riêng tư

Nếu tùy chọn này được bật,Các thành viên Discord có thể trực tiếp bắt đầu các cuộc trò chuyện riêng tư cho bạn, và Avatars và tài khoản của các thành viên này có thể giống hệt như các quản trị viên mà bạn thấy trong Discord. Tại thời điểm này, bạn có thể thư giãn cảnh giác và tin tưởng vào tài khoản này một cách dễ dàng, vì vậy khi họ gửi một liên kết đến bạn, bạn có thể được thành công.

Ngoài ra, bạn bè cần chú ý đến các yêu cầu. Tôi đã từngTôi đã hỏi một câu hỏi trong sự bất hòa của OpenSea, và kết quả là Avatar và tài khoản giống hệt như Quản trị viên Discord để yêu cầu thêm bạn bè. Chỉ cần bỏ qua tình huống này trực tiếp.

Không nhấp vào bất kỳ liên kết không xác định nào

Ảnh chụp màn hình này làTin tức trong sự bất hòa chính thức của Opensea là OpenSea sẽ hợp tác với YouTube để phát hành NFTS, chỉ với 100 địa điểm miễn phí. Khi một người dùng mới nhìn thấy tin nhắn này, anh ta có thể ngay lập tức fomo. Sau khi nhấp vào liên kết trong ảnh chụp màn hình, trang web mà anh ta thấy có lẽ trông như thế này.

Nó rất tốt để xem tên miền và trang web. Khi bạn nghĩ rằng chỉ có 100 địa điểm, bạn cũng có thể nhấp vào khiếu nại để lấy bạc hà, nhưng sau khi thực hiện giao dịch, NFT của bạn sẽ bị mất.

Do đó, bạn phải cảnh giác khi bạn thấy loại tin tức này. Nói chung, mỗi bên dự án phát hành nó.Nếu bạn muốn xuất bản NFT, bạn sẽ phát hành tin nhắn trước. Loại tin tức này đột nhiên bảo bạn xuất bản NFT nói chung là giả.

Cách đánh giá một trang web lừa đảo

Đôi khi trongKhi bạn thấy liên kết được gửi bởi bất cứ ai bạn gửi (có thể là một liên kết được gửi bởi các thành viên trong nhóm, quản trị viên hoặc robot), bạn cần xem tên miền bạn truy cập có phải là tên miền chính thức của dự án trước khi nhấp không. Nếu không, bạn cần phải rất cảnh giác sau khi nhấp vào:

Nếu trang web gọiCửa sổ bật lên Metamask Chỉ yêu cầu bạn xem địa chỉ ví của mình, an toàn, chẳng hạn như hình sau:

 Hoạt động này chỉ là để cho phép trang web xem địa chỉ ví của bạn và sẽ không có bất kỳ hoạt động nào khác trên tài sản của bạn.

Khi bạn tiếp tục duyệt trên trang web này và cần thực hiện các hoạt động liên quan đến ví, bạn cần chú ý đặc biệt. Nói chung, các trang web gọi cho bạnMetamask có một số loại hoạt động:

chuyển khoản

Khi chuyển tiềnCửa sổ bật lên Metamask

Nếu trang web thức dậy yêu cầu chuyển trên ảnh chụp màn hình, bạn cần chú ý xem liệu địa chỉ đích của việc chuyển là địa chỉ bạn muốn chuyển ra và liệu số tiền chuyển là chính xác.

Nó tương đối đơn giản cho chuyển khoản, chỉ cần xác định địa chỉ và số tiền thu thập.

dấu hiệu

Nói chung, mục đích của việc có được một chữ ký là để chứng minh rằng bạn có địa chỉ ví, ví dụ:Có một robot tên là Collabland trong Discord. Nó sử dụng chữ ký để xác minh rằng bạn có địa chỉ ví và địa chỉ ví có NFT. Sau khi xác minh được thông qua, bạn sẽ được xác thực danh tính chủ sở hữu.

Nếu nội dung chữ ký bạn thấy có thể đọc được trong văn bản đơn giản như vậy, không có vấn đề gì. Bạn có thể hiểu đoạn văn này có nghĩa là gì. Nhưng chú ý đến chữ ký ngẫu nhiên cũng sẽ dẫn đến tổn thất tài sản.

Nhưng nếu bạn thấy nội dung chữ ký như ảnh chụp màn hình ở trên và don lồng hiểu nó là gì, thì hãy vận hành nó. Bởi vì nội dung chữ ký của cửa sổ bật lên ở trên là chữ ký đơn đặt hàng của OpenSea, nhưng giá của đơn đặt hàng có thể được kẻ tấn công đặt thành 0,001E. Nếu bạn vô tình ký tên này trên một trang web lừa đảo, NFT của bạn có thể được bán cho Phisher với giá thấp.

Do đó, có một nguyên tắc chung để ký tin nhắn: ký tên nếu bạn có thể hiểu chúng và không có dấu hiệu nếu bạn có thể.

Cuộc gọi hợp đồng

Nhiều tình huống gặp phải trên nhiều trang web, chẳng hạn nhưMint NFT và các hoạt động khác.

 Nếu đó là một cuộc gọi hợp đồng, điều đầu tiên bạn cần xác định là liệu "địa chỉ hợp đồng" có phải là địa chỉ hợp đồng được công bố chính thức hay không. Sau khi xác nhận địa chỉ hợp đồng, bạn sẽ xem xét "loại chức năng" của hợp đồng. Nếu loại "Hàm gọi" hiển thị các từ như phê duyệt, setApprovalforall, chuyển, an toàn, v.v.

Do đó, nguyên tắc tổng thể cho các cuộc gọi hợp đồng là: xác nhận rằng địa chỉ hợp đồng là chính xác và xác nhận rằng loại hoạt động khôngPhê duyệt, SetApprovalForall, Chuyển nhượng, SafetransferFrom và các từ khác.

Cho các nhà khai thác

Trong hầu hết các kịch bản, người dùng thông thường có thể tránh được những cạm bẫy, nhưng nhưCác nhà khai thác Discord cần bảo vệ sự an toàn của các thành viên cộng đồng có trách nhiệm hơn so với người dùng thông thường để tránh tổn thất do các nhà khai thác gây ra sự bất cẩn về an toàn. Đối với các nhà khai thác Discord, cũng có những điểm sau đây để chú ý đến:

Mở2fa

Không được bật2FA, một khi mật khẩu tài khoản bị rò rỉ, kẻ tấn công có thể sử dụng tài khoản của quản trị viên để xuất bản thông tin lừa đảo.

Đừng nhấp vào các liên kết không quen thuộc

Hiện đang được tìm thấy là mục tiêuQuản trị viên Discord Phish trang web. Sau khi quản trị viên vào trang web và được hướng dẫn, kẻ tấn công sẽ nhận được phiên bất hòa của quản trị viên. Kẻ tấn công có thể sử dụng phiên để bỏ qua 2FA và xác minh đăng nhập và trực tiếp tiếp quản cộng đồng Discord với tư cách là quản trị viên. Các tweet sau đây có phân tích chi tiết và những người bạn quan tâm có thể xem xét.

Cố gắng giới thiệu càng ít càng tốtBot

Thêm một cho cộng đồngBot sẽ mang lại nhiều rủi ro bảo mật hơn. Bất kỳ bot nào được khai thác bởi kẻ tấn công đều có thể phát động một cuộc tấn công lừa đảo vào sự bất hòa của cộng đồng.

Cộng đồng Crepto chỉ giới thiệu một bot bên ngoài, CollableD, để xác minh danh tính của chủ sở hữu, vốn đã là tiêu chuẩn cho Discord. Nếu các bot khác không bắt buộc, cộng đồng Crepto sẽ không còn được giới thiệu nữa.

Được giới thiệuQuyền bot quá lớn

Khi giới thiệu bot, quản trị viên Discord cần chú ý đến các quyền của máy chủ được yêu cầu bởi bot và tuân thủ nguyên tắc ủy quyền tối thiểu. Nếu bạn tìm thấy một bot với các chức năng đơn giản yêu cầu quyền của quản trị viên, tốt nhất là không nên giới thiệu chúng. Bởi vì nếu bữa tiệc dự án của bot này bị tấn công, ít nhất nó chỉ gửi tin nhắn thư rác đến cộng đồng Discord của bạn và điều tồi tệ nhất, nó có thể loại bỏ tất cả người dùng và xóa tất cả các kênh và hồ sơ.

Trên đây được giới thiệuCollabland Bot yêu cầu thẩm quyền cao nhất để có được máy chủ. Collabland BOT yêu cầu ủy quyền của "Quản trị viên". Chức năng của bot collabland là cấp một vai trò nhất định cho người giữ được chứng nhận. Trên thực tế, Collabland Bot chỉ cần có được quyền để quản lý thành viên và vai trò, nhưng tôi không biết tại sao cần có sự cho phép cao nhất? Tôi cũng hy vọng rằng những người bạn biết nó sẽ cho bạn biết.

Vì vậy, choĐối với các nhà quản lý Discord, sự bảo mật của Discord chủ yếu nằm trong:

Bảo mật tài khoản người quản lý

Sự an toàn của bot

Bảo mật tài khoản của người quản lý có thể được nhóm đảm bảo để nâng cao nhận thức về bảo mật, nhưngBảo mật của bot là bất lực cho các nhà quản lý, vì vậy các nhà quản lý chỉ có thể xử lý nó bằng cách tuân thủ nguyên tắc sử dụng ít bot hơn và ít được ủy quyền.

Cho các nhà phát triểnMã thông báo của bot phải an toàn

Các nhà phát triển Disc đều biết rằng Lifeline of Bot được kiểm soát bởi mã thông báo. Sau khi kẻ tấn công có được mã thông báo, kẻ tấn công có thể sử dụng bot của bạn để làm bất cứ điều gì anh ta muốn, vì vậy anh ta phải chú ý đến mã thông báo của Bot nhiều như chú ý đến an ninh của khóa riêng của ví.

chạyBảo mật máy chủ của bot

Chủ đề về bảo mật máy chủ có thể không giới hạn, nhưng đây là một lời nhắc nhở.Bảo mật của mã thông báo bot là rất quan trọng. Bot chạy trên máy chủ, do đó, sự cố của máy chủ có nghĩa là mã thông báo cũng đã bị rò rỉ, và tất nhiên, tất cả dữ liệu về sự bất hòa mà BOT thu được cũng đã bị rò rỉ.

Thay thế thường xuyênThói quen của mã thông báo

Giống như một số trang web thường xuyên yêu cầu người dùng thay đổi mật khẩu của họ, mặc dùDiscord không bắt buộc các nhà phát triển phải thay đổi mã thông báo của bot thường xuyên, nhưng tôi nghĩ rằng việc phát triển các mã thông báo thường xuyên, đặc biệt là khi người dùng bot của bạn lớn.

 Quyền yêu cầu bot theo yêu cầu

Đừng yêu cầu nó mà không có bất kỳ bộ não nàoQuyền "Quản trị viên" của máy chủ Discord, xác nhận những chức năng nào mà bot của bạn cần sử dụng, sau đó yêu cầu các quyền tương ứng. Theo cách này, ngay cả khi bot của bạn bị hack, thiệt hại sẽ được kiểm soát trong một phạm vi nhất định.

Nguyên tắc tổng thể cho các nhà phát triển là đảm bảoBảo mật mã thông báo bot và yêu cầu tối thiểu cho quyền bot của bạn.