CORD:Web3防騙指南：Discord用戶、運營者、開發者都應了解的安全技能_SCOR

原文標題：《全面解析Discord安全問題》?

最近看到Discord的安全問題頻發，近期本人也從Discord的普通用戶，轉變到Discord社區的運營者，同時也成為了Discord生態上的開發者，所以本文就以Discord的安全作為主題給大家分享一下Discord上有關安全的問題。

實際上Discord的安全問題被詬病已久，但這也不能完全責怪Discord，因為Discord實在是太開放了，就像最初的Android一樣，任何一個APP都可以拿到幾乎系統的所有權限，所以任何一個APP有安全風險，那么整個系統都會有安全風險。上面說到Discord的三個角色，任何一方未對安全引起重視也都會導致安全問題。

安全無小事，希望這篇文章能夠幫助到以上三個角色的讀者們。

對于普通用戶

Discord上的用戶遭受損失主要是因為Discord上的釣魚網站信息太多了，所以對于普通用戶來說，為了避免被釣魚，需要注意以下幾點：

關閉私信

關閉私聊

該選項如果打開的話，Discord的成員可以直接向你發起私聊，而這些成員的頭像以及賬號也許會與你在Discord里看到的管理員一模一樣，這時你也許就會放松警惕而輕信這個賬號，所以當他們發送某個鏈接給你的時候也許你就被釣魚成功了。

波場TRON冠名贊助的Web3會議WebX明日開幕，孫宇晨將發表主題演講:據最新消息，亞洲最大的Web3會議WebX將于明日在日本東京拉開帷幕，波場TRON將作為冠名贊助商參與本次大會。屆時，波場TRON創始人孫宇晨將發表主題演講并參與爐邊談話等活動。據了解，WebX由日本主流加密媒體CoinPost策劃和管理，本次大會為期兩天，共邀請了超200位演講者。來自Web3、Web2和其他行業的參與者將齊聚一堂，討論如何將區塊鏈等去中心化技術引入社會。

目前，波場TRON公鏈用戶總數突破1.74億，交易筆數超61億，總鎖倉量（TVL）超135億美元。此外，波場版USDT穩定幣流通量自2021年4月起超過以太坊版USDT，位列世界第一。[2023/7/24 15:55:34]

另外好友請求也需要注意，最近我在OpenSea的Discord里問了個問題，結果也是頭像和賬號和Discord管理員一模一樣的賬號來請求加好友，這種情況直接忽略就好。

不要點擊任何未知鏈接

這個截圖是OpenSea官方的Discord中的消息，大意是說OpenSea要和YouTube合作發行NFT，只有100個免費名額。小白用戶看到這個消息可能立馬FOMO了，點擊截圖中的鏈接后，看到的網站大概長這樣。

Animoca Brands聯合創始人：就支持向Web3過渡所需的硬件和網絡而言，許多底層基礎設施已經到位:金色財經報道，Animoca Brands的聯合創始人兼主席Yat Siu在周三的城市土地學會亞太峰會上做主題采訪的指出，向下一代互聯網Web3的過渡將比許多人想象的更快。在未來18個月左右的時間里，我們預計會有數以億計的新加入者進入開放元數據領域，因為開放元數據產品的質量，如新的和更高質量的區塊鏈游戲，將推出，并將吸引新一波人加入這個領域。

Web3 是一個去中心化的互聯網版本，它將把數字所有權從科技公司轉移到用戶手中，這樣他們就可以在開放的元宇宙中跨平臺自由移動。隨著人們在元宇宙中找到更多使用 NFT 的方法，人們會欣賞這種自由給他們帶來的價值。

Siu還認為，這種轉變不會受到身體限制的阻礙。就支持向 Web3 過渡所需的實際硬件和網絡而言，許多底層基礎設施已經到位。[2022/9/4 13:07:31]

看到域名和網站都沒問題，想到只有100個名額，也許就趕緊點Claim搶Mint了，但執行了該交易之后你的NFT也就丟了。

所以看到這種消息千萬需要提高警惕，一般來說各個項目方發行NFT的話都會提前發布消息，這種突然告訴你要發布NFT的消息一般都是假的。

Web3身份網絡Quadrata宣布主網上線:7月26日消息，Web3身份網絡Quadrata宣布在以太坊上啟動主網。Quadrata Passport允許用戶證明其“humanity”和KYC/AML狀態，目標是擴大鏈上可訪問的服務范圍。據悉，Quadrata將為用戶提供去中心化身份（DID），并為去中心化應用程序提供合規基礎設施。

此前7月12日消息，Quadrata完成750萬美元種子輪融資，Dragonfly Capital領投，Franklin Templeton、Abra、GSR Ventures、Orange DAO、Fellows Fund、GreatPoint Ventures、August Capital等參投。（Business Wire）[2022/7/26 2:38:59]

如何判斷釣魚網站

有時候在Discord里看到無論是誰發來的鏈接，在點擊之前首先需要看訪問的域名是不是項目官方的域名，如果不是的話點擊進入后就需要十分警惕：

如果該網站喚起MetaMask的彈窗只是要求查看你的錢包地址，是安全的，例如下圖：

該操作只是授權該網站查看你的錢包地址，不會對你的資產有其他操作。

高盛：區塊鏈技術是元宇宙和 Web 3發展的核心:12月17日消息，高盛在一份研究報告中表示，區塊鏈技術是元宇宙和 Web 3發展的核心。Rod Hall 領導的分析師在 12 月發表的一份報告中寫道，它是唯一可以“獨立于中央機構唯一識別任何虛擬對象”的技術，這種識別和跟蹤所有權的能力對于元節的運作至關重要。該說明稱，對于 Web 3，區塊鏈允許“部分消除集中控制”。未來用戶將能夠在不需要第三方（例如 Meta、Google 或 Apple）的情況下登錄。Web 3 是通過去中心化網絡實現的第三代互聯網服務。高盛分析師認為，加密貨幣只是區塊鏈的開始。他們指出，自 2017 年以來，區塊鏈已從銀行業擴展到多個垂直領域的分布式應用程序，例如通信、媒體和制造業。目前很難預測投資影響，但依賴于用戶身份集中控制的公司可能會發現他們的商業模式受到采用區塊鏈的挑戰。

元宇宙是由虛擬現實、增強現實和互聯網相結合創造的沉浸式數字世界。（Coindesk）[2021/12/17 7:46:48]

當你繼續在該網站上瀏覽，需要進行錢包相關操作的時候就需要特別留意了，一般網站喚起你的MetaMask總共有如下幾個操作類型：

轉賬

現場丨萬向區塊鏈執行總裁王允臻：Web3.0智能城市需要4大技術:金色財經現場報道，由Web3基金會主辦的Web3大會10月30日在上海舉行。萬向區塊鏈執行總裁王允臻在會上發表演講表示，Web3.0智能城市需要解決隱私保護、海量數據、協同計算和孤立復雜的問題，因此需要4大技術賦能：區塊鏈、隱私計算、物聯網和知識圖譜。[2020/10/30]

如果網站喚醒的是截圖上的轉賬請求，你需要注意轉賬的目標地址是不是你希望轉出的地址，以及轉賬的金額是否正確。

對于轉賬來說比較簡單，只要確定收款地址和金額就好了。

簽名

一般來說獲取簽名的目的是為了證明你擁有該錢包地址，例如Discord里有個叫Collabland的機器人，它就是通過簽名來驗證你擁有該錢包地址，并且該錢包地址上擁有該NFT，驗證通過后就會給你一個Holder身份認證。

如果大家看到的簽名內容是這種明文可讀的就沒有什么問題了，你能看明白這段話是什么意思。但注意胡亂簽名也是會導致資產損失。

但如果大家看到的簽名內容如上面這個截圖，看不明白是什么，就別操作了。因為上面這個彈窗的簽名內容是OpenSea的賣單簽名，但賣單的價格可能被攻擊者設置為0.001E，如果你不小心在釣魚網站對此簽名了，你的NFT可能就會被低價賣給釣魚者。

所以對于簽名消息有一個大致原則，看得懂就簽，看不懂就別簽。

合約調用

大家在很多網站上遇到更多的情況是合約調用，例如mintNFT之類的操作等。

如果是合約調用，首先需要確定的是調用的「合約地址」是不是官方公布的合約地址，確定合約地址沒問題之后再看調用該合約的「功能類型」，如果「調用功能」類型顯示approve、setApprovalForAll、transfer、safeTransferFrom之類的字樣就需要警惕了，因為這是給出授權讓別人可以轉移走你的資產，這也是最常見的釣魚方式。

前文所說的OpenSea的Discord被攻擊發出的釣魚網址，以及本人下面推特分享的案例都是這種方式。

所以對于合約調用的總體原則就是：確認合約地址正確，確認操作類型不是approve、setApprovalForAll、transfer、safeTransferFrom等字樣。

對于運營者

對于大部分場景做到以上，普通用戶就可以避坑了，但是作為Discord的運營者，我們需要比普通用戶更盡責地保護社區成員的安全，避免因為運營者的安全疏忽導致用戶的損失。對于Discord的運營者，也有以下幾點需要注意的：

開啟2FA

沒有開啟2FA的話，一旦賬號密碼泄漏，那么攻擊者就可以利用管理者的賬號發布釣魚信息。

別點陌生鏈接

目前發現有針對于Discord管理者釣魚的網站，管理者進入網站被引導后會讓攻擊者得到管理者的Discordsession，攻擊者利用session就可以繞開2FA及登陸驗證，直接以管理員的身份接管Discord社區了。下面推文有詳細分析，感興趣的朋友可以看看。

盡量少引入Bot

為社區每增加一個Bot，就會帶來多一分的安全風險，任何一個Bot被攻擊者利用了，都能夠對社區的Discord發起SCAM攻擊。

Crepto社區只引入了一個外部Bot，CollabLand，用于驗證holder的身份，畢竟已經是Discord標配了。其他Bot如果不是必須使用的話，Crepto社區也就不再引入了。

引入Bot權限過大

Discord管理員引入Bot的時候，需要注意Bot索取的服務器權限，秉持最小授權原則，如果發現一個功能簡單的Bot要求管理員權限的話，最好不要引入。因為這個Bot的項目方如果被攻擊，輕則只是給您的Discord社區發送垃圾消息，重則它可以剔出所有用戶，刪除所有頻道和記錄。

上面是引入CollabLandBot時索取服務器的權限，CollabLandBot要求授權的是「管理員」這個最高權限。CollabLandBot的作用是給通過認證了的holder授予了某個角色，實際上CollabLandBot只需要索取管理Member和Role的權限就足夠了，但不知道為何索要了最高權限？也希望知道的朋友告知一下。

所以對于Discord的管理者來說，Discord的安全主要在于：

-管理者賬號的安全?

-Bot的安全

管理者賬號的安全可以由團隊提升安全意識來保證，但Bot的安全對于管理者來說卻無能為力，所以管理者只能是秉持能少用Bot就少用，能少給授權就少給的原則來處理即可。

對于開發者

Crepto社區已經開發了兩款DiscordBot，也算是對Discord的開發有所了解。所以對于在Discord上進行開發的朋友們，也給出了以下幾點安全建議：

Bot的Token一定要保證安全

Discord的開發者都知道，Bot的生命線就掌握在Token上，Token被攻擊者拿到之后，攻擊者可以利用你的Bot干他想干的任何事情，所以千萬需要像重視錢包私鑰安全那樣去重視Bot的Token。

運行Bot的服務器安全

服務器安全的話題可以無限展開，但這里就提醒一點，BotToken的安全十分重要，Bot是在服務器上運行的，所以服務器被攻破意味著Token也泄漏了，當然還有Bot所獲取Discord上的所有數據也全泄漏了。

養成定期更換Token的習慣

就跟一些網站定期要求用戶更換密碼一樣，雖然Discord沒有強制要求開發者定期更換Bot的Token，但我認為養成定期更換Token是必不可少的，特別是你的Bot用戶數量多的時候。

Bot按需索取權限

千萬別無腦索取Discord服務器的「管理員」權限，確認你的Bot需要用到哪些功能，再去索取相應的權限。這樣即便你的Bot被黑，那么受損程度也被控制在一定范圍之內。

對于開發者的總體原則就是保證BotToken的安全，以及最小索取你的Bot權限。

Tags：CORDSCORISCDISCCordiumSCORGI價格aisc幣最新價DISC價格

MATIC