最近看到Discord的安全问题频发,近期本人也从Discord的普通用户,转变到Discord社区的运营者,同时也成为了Discord生态上的开发者,所以本文就以Discord的安全作为主题给大家分享一下Discord上有关安全的问题。
实际上Discord的安全问题被诟病已久,但这也不能完全责怪Discord,因为Discord实在是太开放了,就像最初的Android一样,任何一个APP都可以拿到几乎系统的所有权限,所以任何一个APP有安全风险,那么整个系统都会有安全风险。上面说到Discord的三个角色(普通用户、运营者、开发者),任何一方未对安全引起重视也都会导致安全问题。
安全无小事,希望这篇文章能够帮助到以上三个角色的读者们。
Discord上的用户遭受损失主要是因为Discord上的钓鱼网站信息太多了,所以对于普通用户来说,为了避免被钓鱼,需要注意以下几点:
该选项如果打开的话,Discord的成员可以直接向你发起私聊,而这些成员的头像以及账号也许会与你在Discord里看到的管理员一模一样,这时你也许就会放松警惕而轻信这个账号,所以当他们发送某个链接给你的时候也许你就被钓鱼成功了。
另外好友请求也需要注意,最近我在OpenSea的Discord里问了个问题,结果也是头像和账号和Discord管理员一模一样的账号来请求加好友,这种情况直接忽略就好。
这个截图是OpenSea官方的Discord中的消息,大意是说OpenSea要和YouTube合作发行NFT,只有100个免费名额。小白用户看到这个消息可能立马FOMO了,点击截图中的链接后,看到的网站大概长这样。
看到域名和网站都没问题,想到只有100个名额,也许就赶紧点Claim抢Mint了,但执行了该交易之后你的NFT也就丢了。
所以看到这种消息千万需要提高警惕,一般来说各个项目方发行NFT的话都会提前发布消息,这种突然告诉你要发布NFT的消息一般都是假的。
有时候在Discord里看到无论是谁发来的链接(可能是群友、管理员、机器人发的链接),在点击之前首先需要看访问的域名是不是项目官方的域名,如果不是的话点击进入后就需要十分警惕:
如果该网站唤起MetaMask的弹窗只是要求查看你的钱包地址,是安全的,例如下图:
该操作只是授权该网站查看你的钱包地址,不会对你的资产有其他操作。
当你继续在该网站上浏览,需要进行钱包相关操作的时候就需要特别留意了,一般网站唤起你的MetaMask总共有如下几个操作类型:
转账
如果网站唤醒的是截图上的转账请求,你需要注意转账的目标地址是不是你希望转出的地址,以及转账的金额是否正确。
对于转账来说比较简单,只要确定收款地址和金额就好了。
签名
一般来说获取签名的目的是为了证明你拥有该钱包地址,例如Discord里有个叫Collabland的机器人,它就是通过签名来验证你拥有该钱包地址,并且该钱包地址上拥有该NFT,验证通过后就会给你一个Holder身份认证。
如果大家看到的签名内容是这种明文可读的就没有什么问题了,你能看明白这段话是什么意思。但注意胡乱签名也是会导致资产损失。
但如果大家看到的签名内容如上面这个截图,看不明白是什么,就别操作了。因为上面这个弹窗的签名内容是OpenSea的卖单签名,但卖单的价格可能被攻击者设置为0.001E,如果你不小心在钓鱼网站对此签名了,你的NFT可能就会被低价卖给钓鱼者。
所以对于签名消息有一个大致原则,看得懂就签,看不懂就别签。
合约调用
大家在很多网站上遇到更多的情况是合约调用,例如mint NFT之类的操作等。
如果是合约调用,首先需要确定的是调用的“合约地址”是不是官方公布的合约地址,确定合约地址没问题之后再看调用该合约的“功能类型”,如果“调用功能”类型显示approve、setApprovalForAll、transfer、safeTransferFrom之类的字样就需要警惕了,因为这是给出授权让别人可以转移走你的资产,这也是最常见的钓鱼方式。
前文所说的OpenSea的Discord被攻击发出的钓鱼网址,以及本人下面推特分享的案例都是这种方式。
https://twitter.com/nelsonie/status/1506819101163126784
所以对于合约调用的总体原则就是:确认合约地址正确,确认操作类型不是approve、setApprovalForAll、transfer、safeTransferFrom等字样。
对于大部分场景做到以上,普通用户就可以避坑了,但是作为Discord的运营者,我们需要比普通用户更尽责地保护社区成员的安全,避免因为运营者的安全疏忽导致用户的损失。对于Discord的运营者,也有以下几点需要注意的:
没有开启2FA的话,一旦账号密码泄漏,那么攻击者就可以利用管理者的账号发布钓鱼信息。
目前发现有针对于Discord管理者钓鱼的网站,管理者进入网站被引导后会让攻击者得到管理者的Discord session,攻击者利用session就可以绕开2FA及登陆验证,直接以管理员的身份接管Discord社区了。下面推文有详细分析,感兴趣的朋友可以看看。
https://twitter.com/Serpent/status/1485002643370037254
为社区每增加一个Bot,就会带来多一分的安全风险,任何一个Bot被攻击者利用了,都能够对社区的Discord发起SCAM攻击。
Crepto社区只引入了一个外部Bot,CollabLand,用于验证holder的身份,毕竟已经是Discord标配了。其他Bot如果不是必须使用的话,Crepto社区也就不再引入了。
Discord管理员引入Bot的时候,需要注意Bot索取的服务器权限,秉持最小授权原则,如果发现一个功能简单的Bot要求管理员权限的话,最好不要引入。因为这个Bot的项目方如果被攻击,轻则只是给您的Discord社区发送垃圾消息,重则它可以剔出所有用户,删除所有频道和记录。
上面是引入CollabLand Bot时索取服务器的权限,CollabLand Bot要求授权的是“管理员”这个最高权限。CollabLand Bot的作用是给通过认证了的holder授予了某个角色,实际上CollabLand Bot只需要索取管理Member和Role的权限就足够了,但不知道为何索要了最高权限?也希望知道的朋友告知一下。
所以对于Discord的管理者来说,Discord的安全主要在于:
管理者账号的安全
Bot的安全
管理者账号的安全可以由团队提升安全意识来保证,但Bot的安全对于管理者来说却无能为力,所以管理者只能是秉持能少用Bot就少用,能少给授权就少给的原则来处理即可。
Crepto社区已经开发了两款Discord Bot,也算是对Discord的开发有所了解。所以对于在Discord上进行开发的朋友们,也给出了以下几点安全建议:
Bot的Token一定要保证安全
Discord的开发者都知道,Bot的生命线就掌握在Token上,Token被攻击者拿到之后,攻击者可以利用你的Bot干他想干的任何事情,所以千万需要像重视钱包私钥安全那样去重视Bot的Token。
运行Bot的服务器安全
服务器安全的话题可以无限展开,但这里就提醒一点,Bot Token的安全十分重要,Bot是在服务器上运行的,所以服务器被攻破意味着Token也泄漏了,当然还有Bot所获取Discord上的所有数据也全泄漏了。
养成定期更换Token的习惯
就跟一些网站定期要求用户更换密码一样,虽然Discord没有强制要求开发者定期更换Bot的Token,但我认为养成定期更换Token是必不可少的,特别是你的Bot用户数量多的时候。
Bot按需索取权限
千万别无脑索取Discord服务器的“管理员”权限,确认你的Bot需要用到哪些功能,再去索取相应的权限。这样即便你的Bot被黑,那么受损程度也被控制在一定范围之内。
对于开发者的总体原则就是保证Bot Token的安全,以及最小索取你的Bot权限。
Crepto社区做了两个Bot,一个Bot是个性化订阅NFT数据推送,另外一个就是HongBao Bot。大家可以像微信群发红包那样,在Discord群里发红包(支持所有ERC-20兼容代币,支持ETH,Polygon和BSC三条公链)。
https://twitter.com/nelsonie/status/1526815337785659392
用HongBao Bot可以活跃社区气氛,也可以作为管理员收集用户钱包地址的工具,还可以作为社区白名单的抽奖工具(比如抢到数量最多的10名用户中奖)。
HongBao Bot所需要的权限仅仅是读取和发送消息,由管理员自行决定并授权可以在哪个channel里使用HongBao Bot,即便HongBao Bot被黑掉了,社区遭受的损失也能最小化。当然我们会保证上述情况不会发生。
虽然上文说到为了Discord安全考虑,尽量少引入Bot,但是我们也希望大家可以添加HongBao Bot到您的Discord里玩玩,因为真的很活跃气氛!HongBao的各个主网合约地址也可以在项目主页上找到,希望大家喜欢!
最后欢迎想在Web3行业做builder的朋友加入Crepto这个大家庭。
最近看到Discord的安全问题频发,近期本人也从Discord的普通用户,转变到Discord社区的运营者,同时也成为了Discord生态上的开发者,所以本文就以Discord的安全作为主题给大家分享一下Discord上有关安全的问题。
实际上Discord的安全问题被诟病已久,但这也不能完全责怪Discord,因为Discord实在是太开放了,就像最初的Android一样,任何一个APP都可以拿到几乎系统的所有权限,所以任何一个APP有安全风险,那么整个系统都会有安全风险。上面说到Discord的三个角色(普通用户、运营者、开发者),任何一方未对安全引起重视也都会导致安全问题。
安全无小事,希望这篇文章能够帮助到以上三个角色的读者们。
Discord上的用户遭受损失主要是因为Discord上的钓鱼网站信息太多了,所以对于普通用户来说,为了避免被钓鱼,需要注意以下几点:
该选项如果打开的话,Discord的成员可以直接向你发起私聊,而这些成员的头像以及账号也许会与你在Discord里看到的管理员一模一样,这时你也许就会放松警惕而轻信这个账号,所以当他们发送某个链接给你的时候也许你就被钓鱼成功了。
另外好友请求也需要注意,最近我在OpenSea的Discord里问了个问题,结果也是头像和账号和Discord管理员一模一样的账号来请求加好友,这种情况直接忽略就好。
这个截图是OpenSea官方的Discord中的消息,大意是说OpenSea要和YouTube合作发行NFT,只有100个免费名额。小白用户看到这个消息可能立马FOMO了,点击截图中的链接后,看到的网站大概长这样。
看到域名和网站都没问题,想到只有100个名额,也许就赶紧点Claim抢Mint了,但执行了该交易之后你的NFT也就丢了。
所以看到这种消息千万需要提高警惕,一般来说各个项目方发行NFT的话都会提前发布消息,这种突然告诉你要发布NFT的消息一般都是假的。
有时候在Discord里看到无论是谁发来的链接(可能是群友、管理员、机器人发的链接),在点击之前首先需要看访问的域名是不是项目官方的域名,如果不是的话点击进入后就需要十分警惕:
如果该网站唤起MetaMask的弹窗只是要求查看你的钱包地址,是安全的,例如下图:
该操作只是授权该网站查看你的钱包地址,不会对你的资产有其他操作。
当你继续在该网站上浏览,需要进行钱包相关操作的时候就需要特别留意了,一般网站唤起你的MetaMask总共有如下几个操作类型:
转账
如果网站唤醒的是截图上的转账请求,你需要注意转账的目标地址是不是你希望转出的地址,以及转账的金额是否正确。
对于转账来说比较简单,只要确定收款地址和金额就好了。
签名
一般来说获取签名的目的是为了证明你拥有该钱包地址,例如Discord里有个叫Collabland的机器人,它就是通过签名来验证你拥有该钱包地址,并且该钱包地址上拥有该NFT,验证通过后就会给你一个Holder身份认证。
如果大家看到的签名内容是这种明文可读的就没有什么问题了,你能看明白这段话是什么意思。但注意胡乱签名也是会导致资产损失。
但如果大家看到的签名内容如上面这个截图,看不明白是什么,就别操作了。因为上面这个弹窗的签名内容是OpenSea的卖单签名,但卖单的价格可能被攻击者设置为0.001E,如果你不小心在钓鱼网站对此签名了,你的NFT可能就会被低价卖给钓鱼者。
所以对于签名消息有一个大致原则,看得懂就签,看不懂就别签。
合约调用
大家在很多网站上遇到更多的情况是合约调用,例如mint NFT之类的操作等。
如果是合约调用,首先需要确定的是调用的“合约地址”是不是官方公布的合约地址,确定合约地址没问题之后再看调用该合约的“功能类型”,如果“调用功能”类型显示approve、setApprovalForAll、transfer、safeTransferFrom之类的字样就需要警惕了,因为这是给出授权让别人可以转移走你的资产,这也是最常见的钓鱼方式。
前文所说的OpenSea的Discord被攻击发出的钓鱼网址,以及本人下面推特分享的案例都是这种方式。
https://twitter.com/nelsonie/status/1506819101163126784
所以对于合约调用的总体原则就是:确认合约地址正确,确认操作类型不是approve、setApprovalForAll、transfer、safeTransferFrom等字样。
对于大部分场景做到以上,普通用户就可以避坑了,但是作为Discord的运营者,我们需要比普通用户更尽责地保护社区成员的安全,避免因为运营者的安全疏忽导致用户的损失。对于Discord的运营者,也有以下几点需要注意的:
没有开启2FA的话,一旦账号密码泄漏,那么攻击者就可以利用管理者的账号发布钓鱼信息。
目前发现有针对于Discord管理者钓鱼的网站,管理者进入网站被引导后会让攻击者得到管理者的Discord session,攻击者利用session就可以绕开2FA及登陆验证,直接以管理员的身份接管Discord社区了。下面推文有详细分析,感兴趣的朋友可以看看。
https://twitter.com/Serpent/status/1485002643370037254
为社区每增加一个Bot,就会带来多一分的安全风险,任何一个Bot被攻击者利用了,都能够对社区的Discord发起SCAM攻击。
Crepto社区只引入了一个外部Bot,CollabLand,用于验证holder的身份,毕竟已经是Discord标配了。其他Bot如果不是必须使用的话,Crepto社区也就不再引入了。
Discord管理员引入Bot的时候,需要注意Bot索取的服务器权限,秉持最小授权原则,如果发现一个功能简单的Bot要求管理员权限的话,最好不要引入。因为这个Bot的项目方如果被攻击,轻则只是给您的Discord社区发送垃圾消息,重则它可以剔出所有用户,删除所有频道和记录。
上面是引入CollabLand Bot时索取服务器的权限,CollabLand Bot要求授权的是“管理员”这个最高权限。CollabLand Bot的作用是给通过认证了的holder授予了某个角色,实际上CollabLand Bot只需要索取管理Member和Role的权限就足够了,但不知道为何索要了最高权限?也希望知道的朋友告知一下。
所以对于Discord的管理者来说,Discord的安全主要在于:
管理者账号的安全
Bot的安全
管理者账号的安全可以由团队提升安全意识来保证,但Bot的安全对于管理者来说却无能为力,所以管理者只能是秉持能少用Bot就少用,能少给授权就少给的原则来处理即可。
Crepto社区已经开发了两款Discord Bot,也算是对Discord的开发有所了解。所以对于在Discord上进行开发的朋友们,也给出了以下几点安全建议:
Bot的Token一定要保证安全
Discord的开发者都知道,Bot的生命线就掌握在Token上,Token被攻击者拿到之后,攻击者可以利用你的Bot干他想干的任何事情,所以千万需要像重视钱包私钥安全那样去重视Bot的Token。
运行Bot的服务器安全
服务器安全的话题可以无限展开,但这里就提醒一点,Bot Token的安全十分重要,Bot是在服务器上运行的,所以服务器被攻破意味着Token也泄漏了,当然还有Bot所获取Discord上的所有数据也全泄漏了。
养成定期更换Token的习惯
就跟一些网站定期要求用户更换密码一样,虽然Discord没有强制要求开发者定期更换Bot的Token,但我认为养成定期更换Token是必不可少的,特别是你的Bot用户数量多的时候。
Bot按需索取权限
千万别无脑索取Discord服务器的“管理员”权限,确认你的Bot需要用到哪些功能,再去索取相应的权限。这样即便你的Bot被黑,那么受损程度也被控制在一定范围之内。
对于开发者的总体原则就是保证Bot Token的安全,以及最小索取你的Bot权限。
Crepto社区做了两个Bot,一个Bot是个性化订阅NFT数据推送,另外一个就是HongBao Bot。大家可以像微信群发红包那样,在Discord群里发红包(支持所有ERC-20兼容代币,支持ETH,Polygon和BSC三条公链)。
https://twitter.com/nelsonie/status/1526815337785659392
用HongBao Bot可以活跃社区气氛,也可以作为管理员收集用户钱包地址的工具,还可以作为社区白名单的抽奖工具(比如抢到数量最多的10名用户中奖)。
HongBao Bot所需要的权限仅仅是读取和发送消息,由管理员自行决定并授权可以在哪个channel里使用HongBao Bot,即便HongBao Bot被黑掉了,社区遭受的损失也能最小化。当然我们会保证上述情况不会发生。
虽然上文说到为了Discord安全考虑,尽量少引入Bot,但是我们也希望大家可以添加HongBao Bot到您的Discord里玩玩,因为真的很活跃气氛!HongBao的各个主网合约地址也可以在项目主页上找到,希望大家喜欢!
最后欢迎想在Web3行业做builder的朋友加入Crepto这个大家庭。
XingRender Network学习记录
最近经常看见 $RNDR (Render Network)的介绍,一个去中心化渲染网络。所以把 $RNDR 加入了Watch List。 今天看见币安上 $RNDR 涨了30%,本着学习的态度就去官网看了看Render Network的介绍,这里跟大家分享下。 同样本文不构成任何投资参考建议,各位认真读完后,自己可以去调研验证并得到自己的结论。Render Network官网介绍在RNDR的官网介绍中,首先介绍了当今虚拟世界的发展会非常迅速,对渲染(Render)的需求会越来越强烈。 这里简单解释一下渲染(Render)的作用。视频制作、3D建模、电影特效等制作,在各类编辑软件制作完成后,需要将编辑的内容进行渲染,得到最后的成品。这个渲染过程需要消耗大量的GPU算力,根据制作的精细复杂程度的不同,需要渲染的算力不一样。 如果是个人制作的视频基本上使用个人电脑就可以完成渲染,如果是4K高分辨率多路视频,可能需要用到GPU显卡工作站进行渲染。 如果是大型电影特效,如果使用工作站渲染的话需要花费大量时间,所以需要用到像渲染农场这类的服务,将自己制作好的工程文件提交渲染农场,这样可以在较...
XingMultiverse学习记录及心得分享
最近看了关注很久的一个博主喊单的一个项目Multiverse,今天与大家分享一下这个项目的学习心得。 这个项目涉及到的概念比较广,有Metaverse,Multi-Metaverse, Token,NFT,Stake Mining等等,甚至还引用了圣经、道德经以及各经济学流派的理论,其中这些概念还相互交织。 当一个项目冒出这么多概念的时候,怎么才能抓住重点呢?先分享一下我学习项目的方法论,我学习项目一般带着四个问题看:这个项目提出了什么现存问题?这个项目如何去解决现存问题?一般与大家分享的内容属于这两个问题范畴,因为通过官方文档就比较能够客观描述。这个问题是真实存在的吗?该项目真能解决该问题吗?这两个问题需要结合个人的经验进行判断回答,所以基本上我会留下让大家思考。如果问题真实存在,并且自己判断项目方案可以解决该问题,同时团队还靠谱,那么就是一个值得投资的项目。 再次申明,本文不包含任何投资建议,请各位读者自行判断。项目简介Multiverse官网上有项目的大概介绍,还有购买MVS及Multiverse NFT的链接。MVS的发行总数为 20 billion,其中25%用作初始提...
XingNFT及OpenSea交易背后的技术分享
这段时间NFT市场火爆,本来准备与大家分享的去中心化存储项目改为了这一篇关于NFT及OpenSea的学习分享了。 最近购入了NFT的各位可以看看你花大价钱购买的NFT的背后究竟是个什么东西,OpenSea是如何实现对NFT进行买卖交易的,这篇文章可以作为一个入门了解。也许这篇文章还是你成为币圈所谓“科学家”的启蒙教程。从本人第一次购买NFT的故事讲起鄙人在今年1月3日的时候,从推特上看见有消息说周杰伦发行了他的NFT PhantaBear,所以本着粉丝的心态去了解一下。当时发现小熊的地板价只有0.4ETH,所以立即花了2ETH购入4只小熊。(后来被 @BTCdayu 传授经验应该买稀有属性的,所以之后又购入了两只稀有小熊) 之后两天鄙人在推特上看见很多人说PhantaBear因为周董发表申明切割,所以项目不值得投资,故本人在推特上发表了自己的观点力挺PhantaBear,同时公开打赌PhantaBear一年之后如果年化收益不到300%的话(2E,打赌时小熊地板价在0.6E多点),愿意赠送一只小熊。结果没想到才过了两三天我自己打了自己的脸,关于我的观点与公开赌注大家可以参考这条推特...
XingRender Network学习记录
最近经常看见 $RNDR (Render Network)的介绍,一个去中心化渲染网络。所以把 $RNDR 加入了Watch List。 今天看见币安上 $RNDR 涨了30%,本着学习的态度就去官网看了看Render Network的介绍,这里跟大家分享下。 同样本文不构成任何投资参考建议,各位认真读完后,自己可以去调研验证并得到自己的结论。Render Network官网介绍在RNDR的官网介绍中,首先介绍了当今虚拟世界的发展会非常迅速,对渲染(Render)的需求会越来越强烈。 这里简单解释一下渲染(Render)的作用。视频制作、3D建模、电影特效等制作,在各类编辑软件制作完成后,需要将编辑的内容进行渲染,得到最后的成品。这个渲染过程需要消耗大量的GPU算力,根据制作的精细复杂程度的不同,需要渲染的算力不一样。 如果是个人制作的视频基本上使用个人电脑就可以完成渲染,如果是4K高分辨率多路视频,可能需要用到GPU显卡工作站进行渲染。 如果是大型电影特效,如果使用工作站渲染的话需要花费大量时间,所以需要用到像渲染农场这类的服务,将自己制作好的工程文件提交渲染农场,这样可以在较...
XingMultiverse学习记录及心得分享
最近看了关注很久的一个博主喊单的一个项目Multiverse,今天与大家分享一下这个项目的学习心得。 这个项目涉及到的概念比较广,有Metaverse,Multi-Metaverse, Token,NFT,Stake Mining等等,甚至还引用了圣经、道德经以及各经济学流派的理论,其中这些概念还相互交织。 当一个项目冒出这么多概念的时候,怎么才能抓住重点呢?先分享一下我学习项目的方法论,我学习项目一般带着四个问题看:这个项目提出了什么现存问题?这个项目如何去解决现存问题?一般与大家分享的内容属于这两个问题范畴,因为通过官方文档就比较能够客观描述。这个问题是真实存在的吗?该项目真能解决该问题吗?这两个问题需要结合个人的经验进行判断回答,所以基本上我会留下让大家思考。如果问题真实存在,并且自己判断项目方案可以解决该问题,同时团队还靠谱,那么就是一个值得投资的项目。 再次申明,本文不包含任何投资建议,请各位读者自行判断。项目简介Multiverse官网上有项目的大概介绍,还有购买MVS及Multiverse NFT的链接。MVS的发行总数为 20 billion,其中25%用作初始提...
XingNFT及OpenSea交易背后的技术分享
这段时间NFT市场火爆,本来准备与大家分享的去中心化存储项目改为了这一篇关于NFT及OpenSea的学习分享了。 最近购入了NFT的各位可以看看你花大价钱购买的NFT的背后究竟是个什么东西,OpenSea是如何实现对NFT进行买卖交易的,这篇文章可以作为一个入门了解。也许这篇文章还是你成为币圈所谓“科学家”的启蒙教程。从本人第一次购买NFT的故事讲起鄙人在今年1月3日的时候,从推特上看见有消息说周杰伦发行了他的NFT PhantaBear,所以本着粉丝的心态去了解一下。当时发现小熊的地板价只有0.4ETH,所以立即花了2ETH购入4只小熊。(后来被 @BTCdayu 传授经验应该买稀有属性的,所以之后又购入了两只稀有小熊) 之后两天鄙人在推特上看见很多人说PhantaBear因为周董发表申明切割,所以项目不值得投资,故本人在推特上发表了自己的观点力挺PhantaBear,同时公开打赌PhantaBear一年之后如果年化收益不到300%的话(2E,打赌时小熊地板价在0.6E多点),愿意赠送一只小熊。结果没想到才过了两三天我自己打了自己的脸,关于我的观点与公开赌注大家可以参考这条推特...
https://twitter.com/nelsonie
https://twitter.com/nelsonie
Share Dialog
Share Dialog
Subscribe to Xing
Subscribe to Xing
<100 subscribers
<100 subscribers
No activity yet