Các vấn đề bảo mật về Discord

nhìn thấy gần đâyVấn đề bảo mật Discord xảy ra thường xuyên. Bài viết này sử dụng bảo mật Discord làm chủ đề để chia sẻ với các bạn những vấn đề bảo mật trên Discord.

Thực raVấn đề bảo mật của Discord đã bị chỉ trích từ lâu nhưng điều này không thể đổ lỗi hoàn toàn cho Discord vì Discord quá cởi mở. Giống như Android gốc, bất kỳ APP nào cũng có thể có được hầu hết các quyền của hệ thống. Vì vậy, nếu APP nào có rủi ro về bảo mật thì toàn bộ hệ thống sẽ gặp rủi ro về bảo mật. Nói về ba vai trò của Discord (người dùng thông thường, nhà điều hành và nhà phát triển), việc bất kỳ bên nào không chú ý đến bảo mật cũng sẽ dẫn đến các vấn đề về bảo mật.

An toàn không phải là chuyện nhỏ. Tôi hy vọng bài viết này có thể giúp ích cho độc giả về ba vai trò trên.

Đối với người dùng thông thườngNgười dùng trên Discord bị thiệt hại chủ yếu do có quá nhiều tin nhắn trang web lừa đảo trên Discord. Vì vậy, đối với người dùng thông thường, để tránh bị lừa đảo, họ cần chú ý những điểm sau:

Đóng tin nhắn riêng tư

Nếu tùy chọn này được bật,Các thành viên Discord có thể trực tiếp bắt đầu các cuộc trò chuyện riêng tư với bạn và hình đại diện cũng như tài khoản của những thành viên này có thể giống hệt với quản trị viên mà bạn thấy trong Discord. Lúc này, bạn có thể bớt cảnh giác và tin tưởng vào tài khoản này nên khi họ gửi cho bạn một liên kết, bạn có thể đã bị lừa đảo thành công.

Ngoài ra, những yêu cầu kết bạn cũng cần được chú ý. Gần đây, tôiTôi đã đặt câu hỏi trong Discord của OpenSea và kết quả là avatar và tài khoản giống hệt tài khoản của quản trị viên Discord để yêu cầu được thêm làm bạn bè. Chỉ cần bỏ qua tình huống này.

Đừng nhấp vào bất kỳ liên kết không xác định

Ảnh chụp màn hình này làThông điệp trong OpenSea Discord chính thức là OpenSea sẽ hợp tác với YouTube để phát hành NFT và chỉ có 100 suất miễn phí. Người dùng mới làm quen có thể ngay lập tức cảm thấy FOMO sau khi xem tin tức này. Sau khi nhấp vào liên kết trong ảnh chụp màn hình, trang web họ nhìn thấy trông như thế này.

Thấy tên miền và website đều ổn, tưởng chỉ có 100 chỗ nên bạn có thể nhanh tay bấm Claim để lấy Mint, nhưng sau khi thực hiện giao dịch thì NFT của bạn sẽ bị mất.

Vì vậy bạn cần phải cảnh giác khi xem những tin tức kiểu này. Nói chung, mỗi bên dự án đều đặt ra vấn đềĐối với NFT, tin tức sẽ được công bố trước. Loại tin tức đột nhiên cho bạn biết rằng NFT sắp được phát hành nói chung là sai sự thật.

Cách nhận biết các trang web lừa đảo

đôi khi ởBất kể ai gửi liên kết trong Discord (có thể là liên kết được gửi bởi một người bạn trong nhóm, quản trị viên hoặc robot), trước khi nhấp vào, trước tiên bạn cần kiểm tra xem tên miền đã truy cập có phải là tên miền chính thức của dự án hay không. Nếu không, bạn cần phải hết sức cảnh giác sau khi nhấn vào:

Nếu trang web gợi lênCửa sổ bật lên của MetaMask chỉ yêu cầu xem địa chỉ ví của bạn, địa chỉ này an toàn, như trong hình bên dưới:

 Hoạt động này chỉ cho phép trang web xem địa chỉ ví của bạn và sẽ không thực hiện bất kỳ hoạt động nào khác đối với tài sản của bạn.

Khi tiếp tục duyệt website và cần thực hiện các thao tác liên quan đến ví, bạn cần đặc biệt chú ý. Nói chung, trang web đánh thức bạnMetaMask có tổng cộng các loại hoạt động sau:

chuyển khoản

Khi chuyển tiềnCửa sổ bật lên MetaMask

Nếu trang web đánh thức yêu cầu chuyển trên ảnh chụp màn hình, bạn cần chú ý xem địa chỉ đích chuyển có phải là địa chỉ bạn muốn chuyển từ đó hay không và số tiền chuyển có chính xác hay không.

Đối với chuyển khoản tương đối đơn giản, chỉ cần xác định địa chỉ và số tiền thanh toán.

dấu hiệu

Nói chung, mục đích của việc lấy chữ ký là để chứng minh rằng bạn sở hữu địa chỉ ví, chẳng hạnCó một robot tên là Collabland trong Discord. Nó sử dụng chữ ký để xác minh rằng bạn sở hữu địa chỉ ví và địa chỉ ví đó chứa NFT. Sau khi quá trình xác minh được thông qua, bạn sẽ được cấp chứng nhận danh tính Chủ sở hữu.

Nếu nội dung chữ ký bạn nhìn thấy có thể đọc được ở dạng văn bản thuần túy thì sẽ không có vấn đề gì. Bạn có thể hiểu đoạn văn này có ý nghĩa gì. Nhưng xin lưu ý rằng việc ký kết bừa bãi cũng có thể dẫn đến thất thoát tài sản.

Nhưng nếu nội dung chữ ký bạn nhìn thấy giống như ảnh chụp màn hình ở trên và bạn không hiểu nó là gì thì đừng làm vậy. Vì nội dung chữ ký của cửa sổ pop-up bên trên là chữ ký lệnh bán của OpenSea nhưng giá của lệnh bán có thể bị kẻ tấn công đặt thành 0,001E. Nếu bạn vô tình ký tên này trên một trang web lừa đảo, NFT của bạn có thể bị bán cho kẻ lừa đảo với giá thấp.

Vì vậy, có một nguyên tắc chung cho việc ký tin nhắn. Nếu bạn có thể hiểu nó, hãy ký nó. Nếu bạn không hiểu thì đừng ký.

Cuộc gọi hợp đồng

Điều mà mọi người gặp phải trên nhiều trang web là có nhiều cuộc gọi hợp đồng hơn, chẳng hạn nhưcác hoạt động như mint NFT, v.v.

 Nếu đó là một cuộc gọi hợp đồng, điều đầu tiên bạn cần xác định là liệu "địa chỉ hợp đồng" đang được gọi có phải là địa chỉ hợp đồng được công bố chính thức hay không. Sau khi đảm bảo rằng địa chỉ hợp đồng là ổn, bạn có thể xem "loại chức năng" của hợp đồng gọi điện. Nếu loại "gọi hàm" hiển thị các từ như phê duyệt, setApprovalForAll, transfer, safeTransferFrom, v.v., bạn cần cảnh giác, vì đây là việc cấp quyền cho phép người khác chuyển tài sản của bạn, đây cũng là phương thức lừa đảo phổ biến nhất.

Do đó, nguyên tắc chung cho các cuộc gọi hợp đồng là: xác nhận rằng địa chỉ hợp đồng là chính xác và xác nhận rằng loại hoạt động khôngcác từ như phê duyệt, setApprovalForAll, transfer, safeTransferFrom, v.v.

Dành cho người vận hành

Bằng cách thực hiện những điều trên cho hầu hết các trường hợp, người dùng thông thường có thể tránh được những cạm bẫy, nhưng cũng nhưCác nhà điều hành Discord cần có trách nhiệm hơn người dùng thông thường để bảo vệ sự an toàn của các thành viên trong cộng đồng và tránh thiệt hại cho người dùng do sơ suất về bảo mật của nhà điều hành. Đối với người vận hành Discord cũng có những điểm cần lưu ý sau:

bật lên2FA

Chưa bậtTrong trường hợp 2FA, khi mật khẩu tài khoản bị rò rỉ, kẻ tấn công có thể sử dụng tài khoản của quản trị viên để công bố thông tin lừa đảo.

Đừng nhấp vào các liên kết lạ

Hiện nay được phát hiện là mục tiêuTrang web lừa đảo của quản trị viên Discord. Sau khi quản trị viên vào trang web và được hướng dẫn, kẻ tấn công sẽ lấy được phiên Discord của quản trị viên. Kẻ tấn công có thể sử dụng phiên này để vượt qua 2FA và xác minh đăng nhập, đồng thời trực tiếp chiếm quyền quản trị cộng đồng Discord với tư cách quản trị viên. Tweet sau đây có phân tích chi tiết, bạn bè quan tâm có thể xem qua.

giới thiệu càng ít càng tốtBot

cho mỗi cộng đồng bổ sungBot sẽ mang lại thêm rủi ro bảo mật. Bất kỳ Bot nào được kẻ tấn công sử dụng đều có thể khởi động các cuộc tấn công SCAM trên Discord của cộng đồng.

Cộng đồng Crepto mới chỉ giới thiệu một Bot bên ngoài, CollabLand, để xác minh danh tính của chủ sở hữu. Rốt cuộc, nó đã là tiêu chuẩn trong Discord. Nếu các Bot khác không bắt buộc phải sử dụng thì cộng đồng Crepto sẽ không giới thiệu chúng nữa.

giới thiệuBot có quá nhiều quyền

Khi quản trị viên Discord giới thiệu Bot, họ cần chú ý đến quyền của máy chủ mà Bot yêu cầu và tuân thủ nguyên tắc ủy quyền tối thiểu. Nếu phát hiện Bot có chức năng đơn giản yêu cầu quyền quản trị viên thì tốt nhất không nên giới thiệu. Bởi vì nếu phía dự án của Bot này bị tấn công, tốt nhất nó sẽ chỉ gửi tin nhắn rác đến cộng đồng Discord của bạn, tệ nhất là nó có thể loại trừ tất cả người dùng và xóa tất cả các kênh và bản ghi.

Trên đây là phần giới thiệuCollabLand Bot yêu cầu quyền trên máy chủ. CollabLand Bot cần có sự ủy quyền có thẩm quyền cao nhất của "Quản trị viên". Chức năng của CollabLand Bot là cấp một vai trò nhất định cho chủ sở hữu được chứng nhận. Thực ra thì CollabLand Bot chỉ cần xin quyền quản lý Member và Role thôi mà không hiểu sao nó lại xin quyền cao nhất? Tôi cũng mong bạn bè nào biết sẽ cho tôi biết.

Vì vậy đối vớiĐối với người quản lý Discord, tính bảo mật của Discord chủ yếu nằm ở:

Bảo mật tài khoản quản trị viên

Bảo mật bot

Tính bảo mật của tài khoản quản trị viên có thể được đảm bảo bằng cách nâng cao nhận thức về bảo mật của nhóm, nhưngNgười quản lý không thể làm gì về tính bảo mật của Bot, vì vậy người quản lý chỉ có thể giải quyết vấn đề này bằng cách tuân thủ nguyên tắc sử dụng Bot càng ít càng tốt và cấp càng ít ủy quyền càng tốt.

Dành cho nhà phát triểnToken của Bot phải được bảo mật

Các nhà phát triển Discord đều biết rằng huyết mạch của Bot nằm ở Token. Sau khi kẻ tấn công lấy được Token, kẻ tấn công có thể sử dụng Bot của bạn để làm bất cứ điều gì hắn muốn, vì vậy bạn phải chú ý đến Token của Bot cũng như chú ý đến tính bảo mật của khóa riêng của ví của bạn.

chạyBảo mật máy chủ bot

Chủ đề về bảo mật máy chủ có thể được mở rộng vô tận, nhưng đây là lời nhắc nhở:Tính bảo mật của Bot Token là rất quan trọng. Bot chạy trên máy chủ nên nếu máy chủ bị xâm nhập thì Token cũng sẽ bị rò rỉ. Tất nhiên, toàn bộ dữ liệu trên Discord mà Bot thu được cũng sẽ bị rò rỉ.

Tạo thói quen thay đổi nó thường xuyênThói quen mã thông báo

Cũng giống như một số trang web thường xuyên yêu cầu người dùng thay đổi mật khẩu, mặc dùDiscord không bắt buộc nhà phát triển phải thường xuyên thay đổi Token của Bot, nhưng tôi nghĩ việc phát triển thói quen thay đổi Token thường xuyên là điều cần thiết, đặc biệt khi bạn có số lượng người dùng Bot lớn.

 Bot yêu cầu quyền theo yêu cầu

Đừng yêu cầu mà không suy nghĩQuyền "Quản trị viên" trên máy chủ Discord, xác nhận chức năng nào Bot của bạn cần sử dụng, sau đó yêu cầu các quyền tương ứng. Bằng cách này, ngay cả khi Bot của bạn bị hack thì mức độ sát thương cũng sẽ được kiểm soát trong một phạm vi nhất định.

Nguyên tắc chung cho các nhà phát triển là đảm bảoTính bảo mật của Bot Token và yêu cầu tối thiểu đối với quyền Bot của bạn.