原文标题:《 Web3 防骗须知:Discord 安全指南 》
原文作者:阿法兔,阿法兔研究笔记
随着 NFT 市场的飞速增长,2021 年 NFT 市场的交易额度近达到 442 亿美元,巨大的金额诱惑导致职业骗子和数字世界的职业诈骗者大量渗透到加密世界,而这些加密世界的骗子,面对经验不足的加密小白进行降维打击,为了给大家提供一些有用处的安全指南,是本文写作的契机。
本文主要分为以下几部分:
1)作为 Discord 或者想参与 NFT 项目的新手,你应该注意什么?
2)目前 Discord 的环境现状
3)来自 Discord 官方的安全指南
4)再次重申
NFT 防骗指南
先提供一些对于普通用户需要记住的安全操作指南,我们后面会进一步进行分析。
首先我们要注意:骗局的几大骗人本质,通常就是利用人类的希望、贪婪 (例如,天降祥瑞了!恭喜你,中了大奖)和恐惧(我们是官方人员,你骗人了,要把你抓起来,赶紧报上身份证和银行卡密码)。
0. 所有 DM(Discord Message)附带链接的不要信,建议直接把 DM 关掉
这一条也是发生频率比较高的,原因在于,如果不是真实生活里有交集的朋友,Discord 私聊你很可能是恶意陌生人,有诈骗的风险。
关于 NFT 项目的一些可能的疑点(需要注意的)
1. Discord 不开公共聊天室
2. Twitter 不开评论
3. 非原创设计
4. 非 WL 也可以在 Presale 中 Mint
5. 团队完全匿名,尤其是设计师
6. 核心成员非常少,MOD 都是网上找的志愿者
7. 从未举办 AMA(Ask Me Anything)
8. 抽奖永远只抽 WL 或者该项目的免费 NFT
9. 除了抽奖基本没有其他活动
10. WL 要求中,拉人头占很大比重
11. Presale 非常仓促
12. 每个钱包的 Mint 数量较多(3 个就算多)
13. 项目周期比较短(2 周都算短)
14. General 频道活跃度极低(精准收割国内韭菜)
15. 推特上没什么人关注,评论转发很少
16. 无其他项目方联动(蹭蓝筹 Holder 不算联动)
17. 所有 DM 附带链接的不要信,建议直接把 DM 关掉
(以上仅供参考)
去中心化体制的后果就是:没人能全权对某件事情进行负责。Discord 是否对其用户负有安全责任?还是说每个服务器的负责人需要保护用户安全?还是用户自己需要学习所有的安全常识,例如不要点击陌生人发送的链接?
注意:从安全专家的角度来看,诈骗数量只是一方面;更重要的是很多诈骗手段越来越复杂。就像免疫系统运作一样:尽管 NFT 持有者对普通的骗局有了一定免疫力,例如不信任任何陌生信息,会保护好自己的助记词。但是,由于安全功能尚且有限,越来越多的新方式开始出现,欺骗 Web3er。
背景
我们从一个故事开始说起:
2021 年 7 月,50 岁的兼职户外教练 Heart 在和孩子们进行户外训练的时候,家中因电线短路而被烧毁,房屋保险已过期,因此她的所有财产都毁于一旦。之后通过区块链公司 Nametag 的赠品,Heart 获得了一个无聊猿 NFT。
无聊猿 NFT 的品牌属性就像消费品世界中的 LV 香奈儿一样,目前在二级市场的价格可高达数百万美元。Heart 在收到这只猴子的时候,价值约为 3.5 万美元,而后涨到 8 万美元。
但是就在去年 8 月,Heart 收到了一个 VeeFriends 赠品的链接,该赠品是由聊天平台 Discord 上的一位陌生人直接发送的,看起来一切似乎都比较合理,URL 指向该项目的官方网站。但是,当她准备领取赠品时,官网要求输入她的助记词,当她输入之后:
自己账户里的所有 Eth 和猴子都不见了。
随着 NFT 市场的飞速增长,2021 年 NFT 市场的交易额度近达到 442 亿美元,巨大的金额诱惑导致职业骗子和数字世界的职业诈骗者大量渗透到加密世界,而这些加密世界的骗子,面对经验不足的加密小白进行降维打击。
作为一个公共的聊天平台,Discord 就是他们的温床之一。
数据显示,2022 年 1 月,有至少 44 台 Discord 服务器遭到攻击,损失超过 100 万美元。NFT 项目作为一个对骗子们有巨大诱惑力的竞技场,已经有人开始以工业模式,规模化的诈骗团队进入 NFT 领域。但是,这些都没有影响 Discord 的增长。9 月份,Discord 融资 5 亿美元,在巨大的增长中,其估值翻了一番多,达到 150 亿美元。聊天服务长期以来一直是视频游戏玩家的热门平台,在过去一年里,它已成为加密社区事实上的城市广场,以至于每一个主要的 NFT 项目和分散的自治组织现在都有一台 Discord 服务器。
从表面上看,Discord 没有提供任何与 Slack 或 Telegram 等传统企业消息平台截然不同的东西,后者主要提供语音和文本聊天工具。该公司成立于 2015 年,早期多是电子游戏玩家的交流平台,但在过去一年里,已经成为加密货币社区的组织活跃阵地,但其实 Discord 并没有提供任何与 Slack 或 Telegram 等传统企业消息平台完全不同的价值,主要还是语音和文字的聊天工具。
Discord 主要是提供了一个可以闲逛的地方,但是游戏玩家后来被加密淘金者所取代,很多人坚信去中心化互联网时代的到来,而随着 NFT 价格飙升,Discord 为 DAO 和 NFT 提供了一个现成场所,一个没有看门人的自由俱乐部,以及一个足够举办数千人聚会的会议空间。
2019 年再到现在,Discord 的 MAU 从 5600 万增长到超过 1.5 亿,这就带来了很大的安全挑战,而对个人 Discord 服务器的治理规则并没有迭代,因此,维护平台安全的责任在主要是服务器的个体负责人,有些是志愿者,而有些是 DAO 和 NFT 项目的员工划分相对混乱。
虽然 Discord 已经推出了新的管理工具例如屏蔽某个用户,也雇佣了全职安全团队,但当当骗子开始在某个频道诈骗时,版主往往是第一道防线。
The way Discord is set up, it makes it really easy to fall for those scams between notifications flying in every five seconds and the way you can change your avatar, your username,」said Nicholas Ptacek, a former computer security specialist at SecureMac who now writes about NFTs and crypto.「It's kind of a scammer』s paradise.」
SecureMac 前计算机安全专家 Nicholas Ptacek 认为:
"Discord 的运行方式(随意能发送消息,可任意改变用户名和头像)有点像骗子的天堂。"
即使是在互联网时代,网络钓鱼计划也会频繁出现,但由于 NFT 产业尚处于早期的蛮荒时代,价值不菲的数字匿名性、超大额的资产、神秘的技术,小白的涌入... 这真的是属于罪犯的游乐场。
去中心化体制的后果就是:没人能全权对某件事情进行负责。Discord 是否对其用户的福利有安全责任?还是说每个服务器的负责人需要保护用户安全?还是用户自己需要学习所有的安全常识,例如不要点击陌生人发送的链接?
从安全专家的角度来看,诈骗数量只是一方面;更重要的是很多诈骗手段越来越复杂。就像免疫系统运作一样:尽管 NFT 持有者对普通的骗局有了一定免疫力,例如不信任任何陌生信息,会保护好自己的助记词。但是,由于安全功能尚且有限,越来越多的新方式开始出现,用户欺骗 Web3er。
但是,受骗者基本没法追回损失。尽管 OpenSea 会标记被盗物品并阻止它们在平台上交易,但它无法撤销交易,这意味着它无法将被盗的 NFT 返还给其合法所有者。Chilton Yambert Porter 的知识产权律师乔纳森认为,通常情况下,受害者只能写信给无意中购买被盗 NFT 的人,全额回购艺术品。因为有关部门对这个世界没有明确的监管,所以大部分时候只能愿赌服输。
来自Discord官方的安全建议
首先,当我们准备点击链接加入服务器,迎接新空投时,可能发生的情况有,尽管链接看起来是对的,但似乎还是会有不对劲。
特征一,对方说话方式并不人性,例如用某些事项威胁你,还有一定的期限,警告你必须加入某个项目?链接?否则你会失去机会。这种骗子的特点之一就是,从没有在任何和用户共同服务器中发布过信息,也不与你共享共同服务器,但会突然来搭讪。
根据联邦贸易委员会的信息,2021年网络诈骗激增。尽管Discord的使命一直是让 Discord 成为互联网上人们找到归属感的最佳场所,我们很开心能看到基于兴趣的社区将人们聚集在一起,但我们也看到一些危险的人试图利用这些社区。
因此,在这里向大家分享我们正在采取的额外措施,并介绍一些可以可以在 Discord 上保护自己的方法。希望你把这些安全技能牢记心间:
对于普通用户:
· 不要点击来自未知发件人或看起来可疑的链接。
· 不要下载程序或复制/粘贴你不认识的代码。
· 不要把你的密码透露给任何人!
· 不要分享或屏幕共享你的授权令牌。
· 不要扫描任何来自你不认识的人或你无法验证其合法性的QR码。
· 启用2-Factor Authentication(双因素认证),以尽可能地保证你的账户安全。
对于服务器负责人:
· 审核服务器权限,特别是像webhooks这样的高级工具。
· 保持官方服务器邀请函的更新,特别是如果你的大多数新服务器成员来自 Discord 之外的社区,请实时更新。
· 同样,不要点击可疑的或未知的链接,如果你的账户被泄露,它可能会对你所管理的社区产生更大的影响。
互联网安全检查表 (Internet Safety Checklist)
对网络安全保持敬畏是很重要的,以下是一些简单而有效的方法,可以在一定程度上确保你在DMs中,甚至在Discord之外的安全。
1.只打开来自你认识的人的可信链接
大量的安全问题源于用户在检查链接是否是真实之前就点击了它们,始终仔细检查你要点击的链接,link shortening services 可以轻易地掩盖不安全的网站或程序。建议通过像VirusTotal这样的资源来检查它,看看是否有人已经把它标记为潜在的危险。
2.注意URL拼写
3.不要下载程序或运行你不了解的代码
4.不下载、运行来源不明的软件
5.谨慎注意陌生人发你的程序
如果有人声称有 "一个特别精彩的软件”需要你在自己的电脑上运行,大概率在误导你,以便用他们用钓鱼程序获取你的个人信息。
Discord安全检查表 (Discord Safety Checklist)
决定可以给你发送DM的名单: 禁用特定服务器的DM,防止隐藏在大型社区内的骗子与你联系。
To adjust who can and can’t DM you, head into User Settings > Privacy & Safety, then scroll down to “Server Privacy Defaults.” From there, you’ll find the option to “Allow direct messages from server members.” 注意,这个新状态只适用于改变设置后加入的服务器;它不会影响你已有的服务器。
如果关闭这个选项,新加入的服务器的成员就不能通过DM联系你,除非你事先和他们是朋友,收到来自你不认识的人的可疑信息是有一定风险的。
如果在一个你信任的服务器中,并且不介意被里面的人发消息,你可以在个人基础上切换隐私设置。Head to that server on desktop or mobile and select its name to open the server's settings, and choose “Privacy Settings.” Once there, you’ll find the “Allow direct messages from server members" option. Turn that on, and you’re free to receive all sorts of DMs from everyone in that server, regardless of if you’re friends or not!
审核服务器权限
· 了解模版和服务器内成员有哪些权限,是保持其中每成员安全的关键。如果你是一个服务器的所有者,最近检查过权限列表吗?谁有什么权限?你知道他们有这个权限吗,时间有多长?
· 要确保只有你信任的版主才有权限改变强大的服务器工具,包括你可能添加到服务器的任何机器人,对冒充大型知名机器人的机器人要保持警惕。
· 保持邀请链接的更新
如果更新了服务器的链接,请确保你的社区和新用户都了解这些变化,并时刻更新你分享这些链接的任何社交媒体页面。如果可能的话,旧的邀请链接的引用,并让大家知道这些链接已经被更新。
(This is doubly-so for servers Partnered, Verified or Level 3-boosted servers that utilize a vanity URL: if your server loses or changes its custom invite link, nefarious communities may swoop in and claim your old one. If this happens before you update your public-facing invites, people trying to join your community may instead join a server that’s looking to cause trouble. )
注意!如果有人获取 你的Discord 帐户的控制权,就可以改变你的用户名、密码、与账户绑定的电子邮件,以及与你的账户相关的任何其他信息。 一旦盗窃者进入你的Discord账户,他们就能看到你的所有个人信息。从服务器布局到服务器权限,到机器人,甚至可以把你的所有用户踢出服务器,如果你的账户是黑客瞄准的服务器的负责人,甚至可能利用你的账户作为垫脚石,在社区内进一步进行破坏,冒充你来欺骗毫无戒心的成员。
一切职业诈骗者,还可能针对那些拥有不可复制的独特档案徽章的 Discord 帐户,如早期支持者的特许徽章等等,如果你有这些独特的徽章之一,就应该对你的账户格外警惕。
建议账户启用2-Factor Authentication,因为诈骗勒索者也需要提供2FA代码来更改你的密码(之后兔会有相关文章继续解释)
再次重申
对于普通用户:
- 不要点击来自未知发件人或看起来可疑的链接。
- 不要下载程序或复制/粘贴你不认识的代码。
- 不要把你的密码透露给任何人!
- 不要分享或屏幕共享你的授权令牌。
- 不要扫描任何来自你不认识的人或你无法验证其合法性的QR码。
- 启用2-Factor Authentication(双因素认证),以尽可能地保证你的账户安全。
对于服务器负责人:
- 审核服务器权限,特别是像webhooks这样的高级工具。
- 保持官方服务器邀请函的更新,特别是如果你的大多数新服务器成员来自 Discord 之外的社区,请实时更新。
- 同样,不要点击可疑的或未知的链接,如果你的账户被泄露,它可能会对你所管理的社区产生更大的影响。
关于NFT项目的一些可能的疑点(需要注意的,还需要继续补充)
1. Discord不开公共聊天室
2. Twitter不开评论
3. 非原创设计
4. 非WL(W List)也可以在Presale中Mint
5. 团队完全匿名 ,尤其是设计师️
6. 核心成员非常少,MOD都是网上找的志愿者️
7. 从未举办AMA️(Ask Me Anything)
8. 抽奖永远只抽WL或者该项目的免费NFT️
9. 除了抽奖基本没有其他活动️
10. WL要求中,拉人头占很大比重️
11. Presale 非常仓促️
12. 每个钱包的Mint数量较多(3个就算多)️
13. 项目周期比较短(2周都算短)️
14. General频道活跃度极低(精准收割国内韭菜)️
15. 推特上没什么人关注,评论转发很少️
16. 无其他项目方联动(蹭蓝筹Holder不算联动)
17.所有DM附带链接的不要信,建议直接把DM关掉
祝愿看到本文的朋友都能平安顺利!