DIS:Web3防指南：Discord用户必备的安全技能

原文作者：阿法兔?Mona

原文来源：阿法兔研究笔记

随着NFT市场的飞速增长，2021年NFT市场的交易额度近达到442亿美元，巨大的金额诱惑导致职业子和数字世界的职业者大量渗透到加密世界，而这些加密世界的子，面对经验不足的加密小白进行降维打击，为了给大家提供一些有用处的安全指南，是本文写作的契机。

本文主要分为以下几部分：

1）作为Discord或者想参与NFT项目的新手，你应该注意什么？

2）目前Discord的环境现状

3）来自Discord官方的安全指南

4）再次重申

NFT防指南

先提供一些对于普通用户需要记住的安全操作指南，我们后面会进一步进行分析。

首先我们要注意：局的几大人本质，通常就是利用人类的希望、贪婪(例如，天降祥瑞了！恭喜你，中了大奖）和恐惧。

0.所有DM附带链接的不要信，建议直接把DM关掉

这一条也是发生频率比较高的，原因在于，如果不是真实生活里有交集的朋友，Discord私聊你很可能是恶意陌生人，有的风险。

关于NFT项目的一些可能的疑点

1.Discord不开公共聊天室

2.Twitter不开评论

3.非原创设计

4.?非WL也可以在Presale中Mint

5.团队完全匿名，尤其是设计师?

6.核心成员非常少，MOD都是网上找的志愿者?

7.从未举办AMA?

8.抽奖永远只抽WL或者该项目的免费NFT?

9.除了抽奖基本没有其他活动?

10.WL要求中，拉人头占很大比重?

11.Presale非常仓促?

12.每个钱包的Mint数量较多?

Web3 数据存储解决方案 KYVE 主网现已上线:3月18日消息，Web3 数据存储解决方案 KYVE 主网现已上线，并提出另一个基于 Cosmos SDK 的创新解决方案，以增强开发者体验，其目标是让数据成为一个无需信任的公共产品。KYVE 区块链分为两层：链层与协议层。链层是 KYVE 的主干，通过 DPoS 保护网络，治理与维护整体结构。协议层充当去中心化数据池，协议节点可以参与获取、存储与验证数据。3 月 21 日，KYVE 支持通货膨胀的治理提案将获得通过，确保 KYVE 主网功能更加齐全与安全，下一步是推出 KYVE 代币。同时，KYVE 数据管道也已上线，第一个数据池在测试网与主网上启动需要 6-8 周时间。在此期间，数据管道将继续从 KYVE 开发网 Korellia 的数据池中提取数据。[2023/3/18 13:12:25]

13.项目周期比较短?

14.General频道活跃度极低?

15.推特上没什么人关注，评论转发很少?

16.无其他项目方联动

17.所有DM附带链接的不要信，建议直接把DM关掉

去中心化体制的后果就是：没人能全权对某件事情进行负责。Discord是否对其用户负有安全责任？还是说每个服务器的负责人需要保护用户安全？还是用户自己需要学习所有的安全常识，例如不要点击陌生人发送的链接？

注意：从安全专家的角度来看，数量只是一方面；更重要的是很多手段越来越复杂。就像免疫系统运作一样：尽管NFT持有者对普通的局有了一定免疫力，例如不信任任何陌生信息，会保护好自己的助记词。但是，由于安全功能尚且有限，越来越多的新方式开始出现，Web3er。

背景

我们从一个故事开始说起：

2021年7月，50岁的兼职户外教练Heart在和孩子们进行户外训练的时候，家中因电线短路而被烧毁，房屋保险已过期，因此她的所有财产都毁于一旦。之后通过区块链公司Nametag的赠品，Heart获得了一个无聊猿NFT。

Web3构建和管理模拟游戏Tiny Colony上线Immutable X:1月14日消息，Web3构建和管理模拟游戏Tiny Colony宣布在Immutable X上推出。通过采用Immutable X技术，Tiny Colony将能够提供许多新特性和功能，包括更快、更灵敏的性能；改进安全性；内置加密钱包，为新Web3游戏玩家提供更方便的访问功能；玩家可以选择使用法定货币购买游戏内资产等。现有的Tiny Colony NFT玩家可以访问游戏的MVP版本来测试核心机制，并向开发团队提供反馈。

据了解，Tiny Colony是一款像素化建筑和管理模拟游戏，最初在Solana区块链上开发。其联合创始人兼首席执行官Arshia Navabi曾就职于Netflix、迪士尼、Prime和派拉蒙的热门影片制作团队。

此前，Tiny Colony曾是Solana生态游戏市场Fractal上最畅销的系列，售出超过18000件资产并筹集了300万美元。（PR Newswire）[2023/1/14 11:12:12]

无聊猿NFT的品牌属性就像消费品世界中的LV香奈儿一样，目前在二级市场的价格可高达数百万美元。Heart在收到这只猴子的时候，价值约为3.5万美元，而后涨到8万美元。

但是就在去年8月，Heart收到了一个VeeFriends赠品的链接，该赠品是由聊天平台Discord上的一位陌生人直接发送的，看起来一切似乎都比较合理，URL指向该项目的官方网站。但是，当她准备领取赠品时，官网要求输入她的助记词，当她输入之后：

自己账户里的所有Eth和猴子都不见了。

随着NFT市场的飞速增长，2021年NFT市场的交易额度近达到442亿美元，巨大的金额诱惑导致职业子和数字世界的职业者大量渗透到加密世界，而这些加密世界的子，面对经验不足的加密小白进行降维打击。

作为一个公共的聊天平台，Discord就是他们的温床之一。

数据显示，2022年1月，有至少44台Discord服务器遭到攻击，损失超过100万美元。NFT项目作为一个对子们有巨大诱惑力的竞技场，已经有人开始以工业模式，规模化的团队进入NFT领域。但是，这些都没有影响Discord的增长。9月份，Discord融资5亿美元，在巨大的增长中，其估值翻了一番多，达到150亿美元。聊天服务长期以来一直是视频游戏玩家的热门平台，在过去一年里，它已成为加密社区事实上的城市广场，以至于每一个主要的NFT项目和分散的自治组织现在都有一台Discord服务器。

优博讯：web3.0未来发展方向涵盖人工智能、区块链、数字货币、物联网等多个方面:12月6日消息，优博讯12月5日在投资者互动平台表示，目前对web3.0的定义还没有一个统一的认识，我认为web3.0会以感知网络为主，再结合人工智能，利用计算机进行对数据的识别和分类。移动互联网和物联网的结合将成为其主要趋势。web3.0未来发展方向涵盖人工智能、区块链、数字货币、物联网等多个方面。[2022/12/6 21:24:26]

从表面上看，Discord没有提供任何与Slack或Telegram等传统企业消息平台截然不同的东西，后者主要提供语音和文本聊天工具。该公司成立于2015年，早期多是电子游戏玩家的交流平台，但在过去一年里，已经成为加密货币社区的组织活跃阵地，但其实Discord并没有提供任何与Slack或Telegram等传统企业消息平台完全不同的价值，主要还是语音和文字的聊天工具。

Discord主要是提供了一个可以闲逛的地方，但是游戏玩家后来被加密淘金者所取代，很多人坚信去中心化互联网时代的到来，而随着NFT价格飙升，Discord为DAO和NFT提供了一个现成场所，一个没有看门人的自由俱乐部，以及一个足够举办数千人聚会的会议空间。

2019年再到现在，Discord的MAU从5600万增长到超过1.5亿，这就带来了很大的安全挑战，而对个人Discord服务器的治理规则并没有迭代，因此，维护平台安全的责任在主要是服务器的个体负责人，有些是志愿者，而有些是DAO和NFT项目的员工划分相对混乱。

虽然Discord已经推出了新的管理工具例如屏蔽某个用户，也雇佣了全职安全团队，但当当子开始在某个频道时，版主往往是第一道防线。

ThewayDiscordissetup,itmakesitreallyeasytofallforthosescamsbetweennotificationsflyingineveryfivesecondsandthewayyoucanchangeyouravatar,yourusername,”saidNicholasPtacek,aformercomputersecurityspecialistatSecureMacwhonowwritesaboutNFTsandcrypto.“It'skindofascammer’sparadise.”

Web3音乐投资平台anotherblock完成250万美元新一轮融资，Inventure 领投:金色财经报道，Web3音乐投资平台anotherblock宣布完成了一笔 250 万美元的新一轮融资，Inventure 领投，Centrifuge.io 创始人 Maex Ament、Dune.xyz 的 Fredrik Haga 和区块链研究与投资公司 StableNode 跟投，此外一批制作人和艺术家也参与了本轮融资，包括格莱美获奖制作人 DannyBoyStyles和一些出版商及唱片公司。Anotherblock 旗下拥有一个让粉丝通过购买 NFT 来投资音乐的 web3 平台，旨在让“投资音乐更轻松更容易”，该公司通过将音乐版权与 NFT 联系起来，创造了一种顺畅且安全的音乐版权交易方式。（musicbusinessworldwide）[2022/6/9 4:12:35]

SecureMac前计算机安全专家NicholasPtacek认为：

"Discord的运行方式有点像子的天堂。"

即使是在互联网时代，网络钓鱼计划也会频繁出现，但由于NFT产业尚处于早期的蛮荒时代，价值不菲的数字匿名性、超大额的资产、神秘的技术，小白的涌入...这真的是属于罪犯的游乐场。

去中心化体制的后果就是：没人能全权对某件事情进行负责。Discord是否对其用户的福利有安全责任？还是说每个服务器的负责人需要保护用户安全？还是用户自己需要学习所有的安全常识，例如不要点击陌生人发送的链接？

从安全专家的角度来看，数量只是一方面；更重要的是很多手段越来越复杂。就像免疫系统运作一样：尽管NFT持有者对普通的局有了一定免疫力，例如不信任任何陌生信息，会保护好自己的助记词。但是，由于安全功能尚且有限，越来越多的新方式开始出现，用户Web3er。

但是，受者基本没法追回损失。尽管OpenSea会标记被盗物品并阻止它们在平台上交易，但它无法撤销交易，这意味着它无法将被盗的NFT返还给其合法所有者。ChiltonYambertPorter的知识产权律师乔纳森认为，通常情况下，受害者只能写信给无意中购买被盗NFT的人，全额回购艺术品。因为有关部门对这个世界没有明确的监管，所以大部分时候只能愿服输。

莱特币 Pivotal MWEB 升级版本发布:金色财经报道，Litecoin 的Mimblewimble Extension Block (?MWEB?) 的首席开发人员David Burkett证实，经过多年的开发、测试、审查和审计，以及数十个关键贡献者的帮助。MWEB 将作为 Litecoin Core 0.21.2 候选版本的一部分包含在内，其中还包括增强安全性和隐私性的Taproot升级。此版本发布之前，安全和代码审计公司Quarkslab完成了对 MWEB 代码的审查/审计。

据悉，一旦矿工收到完整的代码，他们可能会立即开始发出 MWEB 激活信号。一旦达到阈值，激活日期将被锁定，因此，MWEB 将上线。这个过程将通过BIP8进行，每个区块都有一个“版本”字段，矿工可以使用该字段对软分叉进行“投票”。矿工将使用“版本”字段的一小部分来发出 MWEB 激活信号。

每 8064 个区块，就会启动一个新的“窗口”，在每个窗口结束时，节点对所有表示某个特征的块进行统计，如果总数达到规定的阈值，MWEB 将“锁定”以在下一个窗口中激活。对于莱特币，阈值定义为 6048 个区块或窗口中区块的 75%。（litecoin foundation）[2022/2/1 9:25:25]

来自Discord官方的安全建议

首先，当我们准备点击链接加入服务器，迎接新空投时，可能发生的情况有，尽管链接看起来是对的，但似乎还是会有不对劲。

特征一，对方说话方式并不人性，例如用某些事项威胁你，还有一定的期限，警告你必须加入某个项目？链接？否则你会失去机会。这种子的特点之一就是，从没有在任何和用户共同服务器中发布过信息，也不与你共享共同服务器，但会突然来搭讪。

根据联邦贸易委员会的信息，2021年网络激增。尽管Discord的使命一直是让Discord成为互联网上人们找到归属感的最佳场所，我们很开心能看到基于兴趣的社区将人们聚集在一起，但我们也看到一些危险的人试图利用这些社区。

因此，在这里向大家分享我们正在采取的额外措施，并介绍一些可以可以在Discord上保护自己的方法。希望你把这些安全技能牢记心间：

对于普通用户：

不要点击来自未知发件人或看起来可疑的链接。

不要下载程序或复制/粘贴你不认识的代码。

不要把你的密码透露给任何人!

不要分享或屏幕共享你的授权令牌。

不要扫描任何来自你不认识的人或你无法验证其合法性的QR码。

启用2-FactorAuthentication，以尽可能地保证你的账户安全。

对于服务器负责人：

审核服务器权限，特别是像webhooks这样的高级工具。

保持官方服务器邀请函的更新，特别是如果你的大多数新服务器成员来自Discord之外的社区，请实时更新。

同样，不要点击可疑的或未知的链接，如果你的账户被泄露，它可能会对你所管理的社区产生更大的影响。

互联网安全检查表

对网络安全保持敬畏是很重要的，以下是一些简单而有效的方法，可以在一定程度上确保你在DMs中，甚至在Discord之外的安全。

1.只打开来自你认识的人的可信链接

大量的安全问题源于用户在检查链接是否是真实之前就点击了它们，始终仔细检查你要点击的链接，linkshorteningservices可以轻易地掩盖不安全的网站或程序。建议通过像VirusTotal这样的资源来检查它，看看是否有人已经把它标记为潜在的危险。

2.注意URL拼写

3.不要下载程序或运行你不了解的代码

4.不下载、运行来源不明的软件

5.谨慎注意陌生人发你的程序

如果有人声称有"一个特别精彩的软件”需要你在自己的电脑上运行，大概率在误导你，以便用他们用钓鱼程序获取你的个人信息。

Discord安全检查表

决定可以给你发送DM的名单：禁用特定服务器的DM，防止隐藏在大型社区内的子与你联系。

Toadjustwhocanandcan’tDMyou,headintoUserSettings>Privacy&Safety,thenscrolldownto“ServerPrivacyDefaults.”Fromthere,you’llfindtheoptionto“Allowdirectmessagesfromservermembers.”注意，这个新状态只适用于改变设置后加入的服务器；它不会影响你已有的服务器。

如果关闭这个选项，新加入的服务器的成员就不能通过DM联系你，除非你事先和他们是朋友，收到来自你不认识的人的可疑信息是有一定风险的。

如果在一个你信任的服务器中，并且不介意被里面的人发消息，你可以在个人基础上切换隐私设置。Headtothatserverondesktopormobileandselectitsnametoopentheserver'ssettings,andchoose“PrivacySettings.”Oncethere,you’llfindthe“Allowdirectmessagesfromservermembers"option.Turnthaton,andyou’refreetoreceiveallsortsofDMsfromeveryoneinthatserver,regardlessofifyou’refriendsornot!

审核服务器权限

了解模版和服务器内成员有哪些权限，是保持其中每成员安全的关键。如果你是一个服务器的所有者，最近检查过权限列表吗？谁有什么权限？你知道他们有这个权限吗，时间有多长？

要确保只有你信任的版主才有权限改变强大的服务器工具，包括你可能添加到服务器的任何机器人，对冒充大型知名机器人的机器人要保持警惕。

保持邀请链接的更新

如果更新了服务器的链接，请确保你的社区和新用户都了解这些变化，并时刻更新你分享这些链接的任何社交媒体页面。如果可能的话，旧的邀请链接的引用，并让大家知道这些链接已经被更新。

注意！如果有人获取你的Discord帐户的控制权，就可以改变你的用户名、密码、与账户绑定的电子邮件，以及与你的账户相关的任何其他信息。一旦盗窃者进入你的Discord账户，他们就能看到你的所有个人信息。从服务器布局到服务器权限，到机器人，甚至可以把你的所有用户踢出服务器，如果你的账户是黑客瞄准的服务器的负责人，甚至可能利用你的账户作为垫脚石，在社区内进一步进行破坏，冒充你来毫无戒心的成员。

一切职业者，还可能针对那些拥有不可复制的独特档案徽章的Discord帐户，如早期支持者的特许徽章等等，如果你有这些独特的徽章之一，就应该对你的账户格外警惕。

建议账户启用2-FactorAuthentication，因为勒索者也需要提供2FA代码来更改你的密码

再次重申

对于普通用户：

不要点击来自未知发件人或看起来可疑的链接。

不要下载程序或复制/粘贴你不认识的代码。

不要把你的密码透露给任何人!

不要分享或屏幕共享你的授权令牌。

不要扫描任何来自你不认识的人或你无法验证其合法性的QR码。

启用2-FactorAuthentication，以尽可能地保证你的账户安全。

对于服务器负责人：

审核服务器权限，特别是像webhooks这样的高级工具。

保持官方服务器邀请函的更新，特别是如果你的大多数新服务器成员来自Discord之外的社区，请实时更新。

同样，不要点击可疑的或未知的链接，如果你的账户被泄露，它可能会对你所管理的社区产生更大的影响。

关于NFT项目的一些可能的疑点

1.Discord不开公共聊天室

2.Twitter不开评论

3.非原创设计

4.?非WL(W?List)也可以在Presale中Mint

5.团队完全匿名，尤其是设计师?

6.核心成员非常少，MOD都是网上找的志愿者?

7.从未举办AMA?

8.抽奖永远只抽WL或者该项目的免费NFT?

9.除了抽奖基本没有其他活动?

10.WL要求中，拉人头占很大比重?

11.Presale非常仓促?

12.每个钱包的Mint数量较多?

13.项目周期比较短?

14.General频道活跃度极低?

15.推特上没什么人关注，评论转发很少?

16.无其他项目方联动

17.所有DM附带链接的不要信，建议直接把DM关掉

祝愿看到本文的朋友都能平安顺利！

标签：DISCORDSCORSCODISC价格CordiumScorpion FinancePaulSportsCoin

火币APP热门资讯