搜索
NFT元宇宙Web3
近期热门

Discord是世界上最重要的金融信使,也是诈骗者的温床

Founder

信息来源自Vice,略有修改,作者Lorenzo Franceschi-Bicchierai

猖獗的垃圾邮件、网络钓鱼攻击、骗子和恶意软件…Discord在保障加密货币项目的安全方面有很多挑战。

本月早些时候,基于以太坊的平台Origin的创始人Josh Fraser开始探索Discord,这款面向游戏玩家的聊天应用已经成为全球加密货币项目的首选平台。他的发现让他大吃一惊。

Fraser想看看他能否建立一个自动脚本,每当用户在他的服务器上发布某些关键字时,这个脚本就会提醒他。他看到了几个他无法访问的私人频道,但他仍然能够看到很多关于它们的信息。尽管这些频道应该是保密的,但他能够看到它们的名字、描述以及该频道的全部成员名单。

由于许多备受瞩目的加密货币项目都在使用Discord,因此这些信息可以用来弄清楚某个项目即将推出新的代币,或者即将在Coinbase上市,而这可能会对硬币的价格产生重大影响。弗雷泽表示,私人频道的名称和用户名单甚至可以曝光那些负责通过多重签名钱包执行金融交易的人。

弗雷泽在电话中告诉Motherboard:“这可以很容易人肉那些不想被人肉的人。”

弗雷泽的研究揭示了有关加密货币和新的金融“淘金热”的更广泛真相。传统的金融通信是通过高度安全(且昂贵)的Bloomberg Terminal或SWIFT等协议进行的,这种协议在俄罗斯被禁止使用时迅速引起了公众的注意,而加密货币领域中最重要的通讯服务是Discord,这是一个强大的聊天应用程序,但从一开始就没有考虑到安全性。

Discord聊天没有加密,任何加入频道的人都可以看到公开的聊天记录,冒名顶替的骗局很常见,而弗雷泽发现的安全问题仍然是个问题。Discord试图为加密货币项目设计特定功能,但遭到了其主要用户群体游戏玩家的广泛反对,因为他们中的许多人认为加密货币应受到谴责。

在金融领域,有几家公司使用Instant Bloomberg,这是一个内置的应用程序,可与在Bloomberg基础设施上运行的Bloomberg终端配合使用,其成员的身份由公司验证。终端需要用户的指纹才能登录。但该应用程序的成本很高(据报道,单个终端的订阅费用约为每年2.4万美元),而且它实际上是为金融行业的人设计的,他们的需求和限制与DeFi和加密货币不同。实际上,这意味着该应用程序受到了全面监控以符合金融监管规定。

还有Instant Bloomberg的竞争对手Symphony。但它也是专门为金融公司打造的,尤其是在遵守不适用于加密货币的现有法规的情况下。

在发现私人频道泄露了潜在的敏感信息后,弗雷泽通知了Discord,但该公司告诉他这是一个已知的问题,目前无法修复。因此他在Twitter上写了一个帖子解释他所发现的问题,试图警告社区。他的帖子很快就传开了,这表明加密货币领域的许多人不知道私人频道泄露了如此敏感的信息。

Discord于2015年推出,由Jason Citron(首席执行官)和Stanislav Vishnevskiy(首席技术官)创建,这两位开发者在尝试以Hammer & Chisel Inc.的名义进行游戏开发之前,都曾推出过游戏社交应用。他们最终推出了一款名为Fates Forever的平板电脑免费游戏,但最终未能取得商业成功,不久便关闭了。从那时起,Hammer & Chisel开始将Discord开发成一个供玩家交流和协调游戏战术的中心,并注重用户友好性,这最终成为了Discord Inc.。

最终,这款应用巩固了自己作为大多数加密货币项目中心的地位。包括Bored Ape Yacht Club在内的大多数NFT系列都把它当作自己的家园,在他们的服务器中有成千上万的成员,此外DAO(去中心化自治组织)的数量也在激增。

然而它也成为了骗子的温床。

加密货币黑客可以以极快的速度执行(只要一个错误的链接,就可以不可逆转地盗取某人的财产),因此劫持Discord服务器是同时锁定大量用户的有效方法。仅在过去的几个月里,黑客就控制了超级受欢迎的NFT收藏Bored Ape Yacht Club、NFT交易平台OpenSea和其他几个平台的官方Discord服务器。

在这些案例中,一旦黑客控制了服务器,骗子就控制了受到社区信任的管理员的机器人。然后,他们开始通过这些机器人发布虚假公告,欺骗受害者放弃他们的加密货币或NFT。

区块链安全公司Zellic的联合创始人Stephen Tong在电话中告诉Motherboard:“如果那个机器人被入侵,控制机器人的后端也被入侵,那真是太糟糕了。”“在安全方面,这些机器人是一个巨大的负担。”

实际上,每个加密货币项目的Discord服务器上都充斥着向服务器上的每个人发送带有钓鱼链接私信的虚假账户。如果你没有将你的Discord账户设置为只接受联系人的私信,就不会有告诉你信息来自你不认识的人的警告弹出,这可能很危险。据Tong的说法,免责声明会带来巨大的变化,而且会是一个简单的解决方案。

除了利用应用程序的功能外,Discord骗局通常还涉及社交工程。在针对Bored Ape Yacht Club Discord服务器的黑客事件中,骗子接管了管理员账户,并在YouTube上发布了一个虚假NFT投放链接,诱使希望提前参与新系列的热心投资者放弃对其钱包的控制。

区块链安全公司Immunefi的首席执行官Mitchell Amador表示,针对Discord频道及其用户的黑客正在变得非常有组织性,这是Discord还没有准备好应对的。

Amador在电话中告诉Motherboard:“Discord的构建不是基于安全通信,也不是基于彻底隐私的理念。它并不是建立在针对高级持续威胁级别的攻击者的基础上。这些诈骗团伙中一定有几十或数百名员工,”“他们实际上是专业的公司,致力于实现这些结果。而Discord从来就不是为了抵御目标如此广泛的攻击者而设计的。”

在区块链公司工作的网络安全从业者Jessy Irwin最近看到了一种新型的攻击。如果黑客为Discord Nitro(一个更高级的服务)付费,他们就可以在不同的服务器中使用不同的昵称。Irwin告诉Motherboard,有人滥用这个功能冒充她的公司首席执行官。

Irwin在一次在线聊天中告诉Motherboard:“当我们的安全团队联系到Discord的支持部门时,他们问我们为什么没有报告。我们了解到,你必须从攻击者那里得到一个DM,才能向他们的全球信任和安全团队报告。”“因此,只要象征性地支付一笔费用,任何人都可以通过以一种几乎无法与合法帐户区分的方式重命名其帐户来实施冒名攻击。”

Tong说,归根结底问题在于,Discord并不是为加密货币或DeFi项目设计的通信平台。

他说:“Discord是围绕游戏玩家建立的,他们才是最初的目标用户。而整个社区在过去的Skype时代有很多创伤。当每个人都在使用Skype时,从他们的Skype中提取某人的IP地址是非常容易的。”“正因为如此,Discord非常小心地使其尽可能地难以通过Discord聊天提取某人的IP地址。[……]如果你是一个拥有100万美元的大户,你不会想要向全世界广播:‘嘿,我在我的加密货币钱包里有100万美元。’这有点危险。”

Discord是为游戏玩家设计的,这是一个由通常使用假名的人组成的大型社区,这些人不一定是亲密的朋友或同事,由于加密货币和DeFi领域也重视假名和无信任性,这使得它在这些领域也广受欢迎。然而,这些因素也使骗子很容易混入其中。

弗雷泽说:“Discord是为游戏玩家而设计的,因此有大量彼此不认识且彼此不信任的人。对于加密货币社区来说,这实际上是一个更好的模式,这些社区是一大群彼此不认识并且没有任何充分理由相互信任的人。”

不过,为了安抚加密货币世界,Discord还可以做出很多改进,因为加密货币世界的风险远远大于在线游戏的策略。弗雷泽说:“游戏玩家的安全问题与加密货币的高风险世界非常不同。虽然Discord没有采取任何措施阻止加密货币社区进入并使用他们的产品,但他们也没有完全欢迎我们并很好地适应加密货币。”

过去Discord曾试图为这一庞大的用户群体解决问题,但进展并不顺利。去年11月,Discord的首席执行官Jason Citron在推特上透露了一个即将推出的功能,用户可以通过该功能连接他们的加密货币钱包。Discord用户的反应非常负面,以至于Citron不得不反悔,表示没有计划在平台上整合以太坊钱包。

Discord的一名发言人表示,该公司“非常重视所有用户和社区的安全,包括像你分享的那些社交工程攻击。虽然有明确的控制措施,但我们一直在努力让攻击更加难以发生,并继续投资于教育和工具,以帮助保护我们的用户。”

该发言人指出,该平台的服务条款禁止欺诈、非法和有害活动,并表示信任和安全团队经常采取行动屏蔽垃圾邮件发送者并删除垃圾邮件。当这种情况发生时,用户会在收到垃圾邮件发送者的消息时得到警告。

此外,Discord正在测试一个可以监控服务器的不真实行为并将其置于“安全模式”的系统。该发言人表示,该公司还有一个可以删除恶意链接,并在用户打开此类链接时发出警告的系统。

该公司还发布了两篇博文,就用户和服务器管理员如何保护自己免受诈骗,以及用户应该注意哪种诈骗提出建议。

Discord频道被黑客的钓鱼链接淹没并不是该平台上唯一的危险。根据Irwin的说法, Discord甚至已经成为“恶意软件传播的温床”。

几家网络安全公司已经发布了报告,详细描述了在Discord上发生的恶意软件活动,不过这些活动并不总是针对加密货币用户。Irwin说,很难真正了解恶意软件在Discord上的问题有多大,因为“很多恶意行为并不是在每个服务器上公开发生的,行为者可以从一个服务器跳到另一个服务器,除非你在服务器上设置了多个“蜜罐”用户账户,并仔细监控它们,否则很难了解这些活动。”

目前还没有任何替代Discord的产品。一些加密货币项目使用Telegram,但该应用程序没有提供Discord所提供的所有社区功能。此外,还有一些在看似无休止的一系列黑客攻击之后出现的、专注于加密货币的工具可以帮助提高服务器的安全性。

有一款名为Good Knight的免费工具,它承诺是“首款使用创新的加密保护技术以防止黑客恶意行为的Discord安全机器人”。实际上,如果Discord的服务器管理员使用这个机器人,他们可以阻止包括黑客在内的任何人向服务器发布未包含在有效的允许列表中的链接。当管理员设置Good Knight时,他们可以选择赋予它比管理员更多的权限,这可以防止被黑客攻击的管理员账户禁用Good Knight机器人。据该工具的开发者Kyle Higdon介绍,该机器人还可以强制管理员在使用服务器命令时使用密码。

在Twitter上被称为Captain_Plantain的开发者告诉Motherboard,他建议管理员设置一个“冷”管理帐户和一个“热”管理帐户。两者的区别在于,“冷”帐户用于管理服务器,如添加或删除机器人和频道,它不应该经常在线,以降低被入侵的风险。“热”帐户不应该有管理员权限,这样即使它受到攻击,黑客也无法将Good Knight机器人踢出去。

另一个工具叫Collab.land,它允许Discord服务器的管理员只允许那些能证明他们拥有Discord服务器(或Telegram频道)所涉及的加密资产的用户。在实践中,如果用户证明他们拥有特定的加密货币资产,该工具就可以自动批准用户,并在他们出售资产后将其驱逐出去。该公司称其为“看门人”,这要求该加密货币项目安装一个如Metamask的加密货币钱包。

还有一些加密货币项目也构建了用于类似目的的机器人。如果你不能证明你拥有这个项目的代币,你就不能访问它的Discord服务器。

Discord目前是王者。但这在未来可能会改变。

Amador表示,“我非常肯定加密货币最终会脱离Discord。”

Mitchell说,这并不是社区第一次迁移到一个新的交流平台。起初是Bitcoin Talk,然后是Slack,之后是Telegram,现在是Discord。尽管语音聊天应用程序Clubhouse曾短暂地成为了加密货币投资者的目的地,但该社区基本上已经转移到了Twitter Spaces。

Amador说:“聊天应用和加密货币的历史是一条漫长而曲折的道路,令人深感不快。”

“因为它不断地在逃避骗局,试图找到一个安全的地方来共同建立一些东西。”

编辑于 2022-06-03 16:25
「 真诚赞赏,手留余香 」
赞赏

发表评论已发布0

手机APP 意见反馈 返回顶部 返回底部