ISC:Web3防騙指南：Discord用戶必備的安全技能_SCO

原文作者：阿法兔?Mona

原文來源：阿法兔研究筆記

隨著NFT市場的飛速增長，2021年NFT市場的交易額度近達到442億美元，巨大的金額誘惑導致職業騙子和數字世界的職業詐騙者大量滲透到加密世界，而這些加密世界的騙子，面對經驗不足的加密小白進行降維打擊，為了給大家提供一些有用處的安全指南，是本文寫作的契機。

本文主要分為以下幾部分：

1）作為Discord或者想參與NFT項目的新手，你應該注意什么？

2）目前Discord的環境現狀

3）來自Discord官方的安全指南

4）再次重申

NFT防騙指南

先提供一些對于普通用戶需要記住的安全操作指南，我們后面會進一步進行分析。

首先我們要注意：騙局的幾大騙人本質，通常就是利用人類的希望、貪婪(例如，天降祥瑞了！恭喜你，中了大獎）和恐懼。

0.所有DM附帶鏈接的不要信，建議直接把DM關掉

這一條也是發生頻率比較高的，原因在于，如果不是真實生活里有交集的朋友，Discord私聊你很可能是惡意陌生人，有詐騙的風險。

關于NFT項目的一些可能的疑點

1.Discord不開公共聊天室

2.Twitter不開評論

3.非原創設計

4.?非WL也可以在Presale中Mint

5.團隊完全匿名，尤其是設計師?

6.核心成員非常少，MOD都是網上找的志愿者?

7.從未舉辦AMA?

8.抽獎永遠只抽WL或者該項目的免費NFT?

9.除了抽獎基本沒有其他活動?

10.WL要求中，拉人頭占很大比重?

11.Presale非常倉促?

12.每個錢包的Mint數量較多?

香港立法會發布《選定地方Web3.0技術的發展》資料摘要:金色財經報道，據中國香港立法會官方網站顯示，香港立法會秘書處資料研究組發布《選定地方Web3.0技術的發展》資料摘要。據悉，該資料摘要是應吳杰莊議員的要求，香港立法會秘書處資料研究組就已開發Web3.0技術/應用的先行地方進行研究，探討它們為此所采取的策略，其中集中探討日本、新加坡、南韓和阿聯酋的經驗，因為該等地區在發展Web3.0技術方面積極，現已占據全球或地區創新樞紐之列。香港立法會秘書處資料研究組表示，《選定地方Web3.0技術的發展》資料摘要探討Web3.0的主要特點、基礎技術以及應用，并且將概述Web3.0在香港的近期發展。[2023/6/20 21:49:23]

13.項目周期比較短?

14.General頻道活躍度極低?

15.推特上沒什么人關注，評論轉發很少?

16.無其他項目方聯動

17.所有DM附帶鏈接的不要信，建議直接把DM關掉

去中心化體制的后果就是：沒人能全權對某件事情進行負責。Discord是否對其用戶負有安全責任？還是說每個服務器的負責人需要保護用戶安全？還是用戶自己需要學習所有的安全常識，例如不要點擊陌生人發送的鏈接？

注意：從安全專家的角度來看，詐騙數量只是一方面；更重要的是很多詐騙手段越來越復雜。就像免疫系統運作一樣：盡管NFT持有者對普通的騙局有了一定免疫力，例如不信任任何陌生信息，會保護好自己的助記詞。但是，由于安全功能尚且有限，越來越多的新方式開始出現，欺騙Web3er。

背景

我們從一個故事開始說起：

2021年7月，50歲的兼職戶外教練Heart在和孩子們進行戶外訓練的時候，家中因電線短路而被燒毀，房屋保險已過期，因此她的所有財產都毀于一旦。之后通過區塊鏈公司Nametag的贈品，Heart獲得了一個無聊猿NFT。

無聊猿NFT的品牌屬性就像消費品世界中的LV香奈兒一樣，目前在二級市場的價格可高達數百萬美元。Heart在收到這只猴子的時候，價值約為3.5萬美元，而后漲到8萬美元。

多名投資人宣布退出前Moonbirds首席運營官Ryan Carson創立的新Web3項目“Flux”:2月5日消息，繼前NFT項目Moonbirds首席運營官Ryan Carson宣布推出全新Web3項目“Flux”并公布初始投資者名單后，多名投資人在社交媒體上宣布退出。胖企鵝PudgyPenguins首席執行官LucaNetz表示：為了透明起見，我沒有簽署任何東西，也沒有資助任何東西。

我以為我只是在幫助這個領域的人并保持友好。我不太了解細節，但我已經向Ryan明確表示不想參與該項目。Gmoney創始人gmoney.9dcc.eth表示：我對在籌款完成之前發布此公告的方式以及籌款策略感到不舒服，因此我不再承諾這筆交易。我祝愿Ryan一切順利，希望他能成功。

Ava Stars 創始人 j1mmy.eth 表示：今天仔細聽了 Ryan Carson 和其他所有人的意見后，我決定不再繼續對 Flux 進行投資。此外，WhatStrending 創始人 Shira Lazar、Vayner Media 聯創 AJ Vaynerchuk 等投資人也都宣布退出 Flux 投資。

金色財經此前報道，前 NFT 項目 Moonbirds 首席運營官 Ryan Carson 在社交媒體宣布，他將推出一個名為「Flux」的全新 Web3 項目，并且公布了初始投資者名單，包括：gmoney、9gagceo、Gary Vaynerchuk 、j1mmy.eth、 Luca Netz、 Shira Lazar、 Pio Vincenzo、 AJ Vaynerchuk、 Jeremy Fall、 Von Doom、 NFTNick、 andr3w、lib 和 Todd Kramer，該項目合作伙伴包括 Immutable、 Blur、 Ava Labs 等，有關該項目的具體信息將很很快發布。BlockBeats 此前報道，Ryan Carson 于 2022 年 4 月離開 Moonbirds 并成立新基金121 G。[2023/2/5 11:48:30]

但是就在去年8月，Heart收到了一個VeeFriends贈品的鏈接，該贈品是由聊天平臺Discord上的一位陌生人直接發送的，看起來一切似乎都比較合理，URL指向該項目的官方網站。但是，當她準備領取贈品時，官網要求輸入她的助記詞，當她輸入之后：

Web3社交網絡Hooked Protocol已在BNB Chain上線:金色財經報道，Binance Labs與紅杉種子基金投資的Web3社交網絡Hooked Protocol在社交媒體宣布已在BNB Chain主網上線，目前用戶量已突破5萬里程碑。Hooked Protocol表示，后續其網絡將拓展到其他Layer 1網絡，比如Solana、Avalanche等。

Hooked Protocol使用基于Token設計的社區驅動的社交網絡，今年9月完成種子輪融資Binance Labs 與紅杉種子基金領投，A&T Capital 等參投。[2022/10/24 16:36:50]

自己賬戶里的所有Eth和猴子都不見了。

隨著NFT市場的飛速增長，2021年NFT市場的交易額度近達到442億美元，巨大的金額誘惑導致職業騙子和數字世界的職業詐騙者大量滲透到加密世界，而這些加密世界的騙子，面對經驗不足的加密小白進行降維打擊。

作為一個公共的聊天平臺，Discord就是他們的溫床之一。

數據顯示，2022年1月，有至少44臺Discord服務器遭到攻擊，損失超過100萬美元。NFT項目作為一個對騙子們有巨大誘惑力的競技場，已經有人開始以工業模式，規模化的詐騙團隊進入NFT領域。但是，這些都沒有影響Discord的增長。9月份，Discord融資5億美元，在巨大的增長中，其估值翻了一番多，達到150億美元。聊天服務長期以來一直是視頻游戲玩家的熱門平臺，在過去一年里，它已成為加密社區事實上的城市廣場，以至于每一個主要的NFT項目和分散的自治組織現在都有一臺Discord服務器。

從表面上看，Discord沒有提供任何與Slack或Telegram等傳統企業消息平臺截然不同的東西，后者主要提供語音和文本聊天工具。該公司成立于2015年，早期多是電子游戲玩家的交流平臺，但在過去一年里，已經成為加密貨幣社區的組織活躍陣地，但其實Discord并沒有提供任何與Slack或Telegram等傳統企業消息平臺完全不同的價值，主要還是語音和文字的聊天工具。

Web3基金會CEO：加密市場崩盤有助于擺脫“壞演員”或暗指Do Kwon:金色財經報道，據 CNBC 消息，Web3 基金會首席執行官 Bertrand Perez 在瑞士達沃斯舉行的世界經濟論壇上表示，最近數字貨幣市場崩盤有助于擺脫該領域的“壞演員”（bad actors）。Bertrand Perez 說道：“我們正處于熊市中，我認為這很好，這很好，因為熊市將清除那些出于不良目的待在這個行業里的人。”Bertrand Perez 沒有具體指出所謂“壞演員”是誰，但加密社區猜測可能是暗指 Terra 創始人 Do Kwon。此外，Polygon 聯合創始人 Mihailo Bjelic 也認為加密貨幣市場下跌是“必要的”，因為激進的市場會有點不現實，或者在一定程度上讓投資者變得魯莽，現在需要糾正，最終推動加密市場更加健康。[2022/5/29 3:48:22]

Discord主要是提供了一個可以閑逛的地方，但是游戲玩家后來被加密淘金者所取代，很多人堅信去中心化互聯網時代的到來，而隨著NFT價格飆升，Discord為DAO和NFT提供了一個現成場所，一個沒有看門人的自由俱樂部，以及一個足夠舉辦數千人聚會的會議空間。

2019年再到現在，Discord的MAU從5600萬增長到超過1.5億，這就帶來了很大的安全挑戰，而對個人Discord服務器的治理規則并沒有迭代，因此，維護平臺安全的責任在主要是服務器的個體負責人，有些是志愿者，而有些是DAO和NFT項目的員工劃分相對混亂。

雖然Discord已經推出了新的管理工具例如屏蔽某個用戶，也雇傭了全職安全團隊，但當當騙子開始在某個頻道詐騙時，版主往往是第一道防線。

ThewayDiscordissetup,itmakesitreallyeasytofallforthosescamsbetweennotificationsflyingineveryfivesecondsandthewayyoucanchangeyouravatar,yourusername,”saidNicholasPtacek,aformercomputersecurityspecialistatSecureMacwhonowwritesaboutNFTsandcrypto.“It'skindofascammer’sparadise.”

去中心化內容發布平臺Mirror已開放所有Web3工具組件:10月14日消息，去中心化內容發布平臺 Mirror 向所有人開放 Web3 工具組件的其余部分，目前所有 Web3 工具組件都已開放，包括出版（Publishing）、眾籌（Crowdfunds）、版本（Editions）、拆分（Splits）、代幣競賽（Token Race）和拍賣（Auctions），任何人都可以連接自己的錢包并開始構建 Web3 項目。接下來幾個月 Mirror 也將擴展工具包，以支持會員原始信息、治理功能、自定義 NFT 空投、社區儀表板、Web3 配置文件頁面等功能，致力于讓創作者可以推出 DAO、創建社區，并以新的 Web3 商業模式謀生。[2021/10/14 20:28:06]

SecureMac前計算機安全專家NicholasPtacek認為：

"Discord的運行方式有點像騙子的天堂。"

即使是在互聯網時代，網絡釣魚計劃也會頻繁出現，但由于NFT產業尚處于早期的蠻荒時代，價值不菲的數字匿名性、超大額的資產、神秘的技術，小白的涌入...這真的是屬于罪犯的游樂場。

去中心化體制的后果就是：沒人能全權對某件事情進行負責。Discord是否對其用戶的福利有安全責任？還是說每個服務器的負責人需要保護用戶安全？還是用戶自己需要學習所有的安全常識，例如不要點擊陌生人發送的鏈接？

從安全專家的角度來看，詐騙數量只是一方面；更重要的是很多詐騙手段越來越復雜。就像免疫系統運作一樣：盡管NFT持有者對普通的騙局有了一定免疫力，例如不信任任何陌生信息，會保護好自己的助記詞。但是，由于安全功能尚且有限，越來越多的新方式開始出現，用戶欺騙Web3er。

但是，受騙者基本沒法追回損失。盡管OpenSea會標記被盜物品并阻止它們在平臺上交易，但它無法撤銷交易，這意味著它無法將被盜的NFT返還給其合法所有者。ChiltonYambertPorter的知識產權律師喬納森認為，通常情況下，受害者只能寫信給無意中購買被盜NFT的人，全額回購藝術品。因為有關部門對這個世界沒有明確的監管，所以大部分時候只能愿賭服輸。

來自Discord官方的安全建議

首先，當我們準備點擊鏈接加入服務器，迎接新空投時，可能發生的情況有，盡管鏈接看起來是對的，但似乎還是會有不對勁。

特征一，對方說話方式并不人性，例如用某些事項威脅你，還有一定的期限，警告你必須加入某個項目？鏈接？否則你會失去機會。這種騙子的特點之一就是，從沒有在任何和用戶共同服務器中發布過信息，也不與你共享共同服務器，但會突然來搭訕。

根據聯邦貿易委員會的信息，2021年網絡詐騙激增。盡管Discord的使命一直是讓Discord成為互聯網上人們找到歸屬感的最佳場所，我們很開心能看到基于興趣的社區將人們聚集在一起，但我們也看到一些危險的人試圖利用這些社區。

因此，在這里向大家分享我們正在采取的額外措施，并介紹一些可以可以在Discord上保護自己的方法。希望你把這些安全技能牢記心間：

對于普通用戶：

不要點擊來自未知發件人或看起來可疑的鏈接。

不要下載程序或復制/粘貼你不認識的代碼。

不要把你的密碼透露給任何人!

不要分享或屏幕共享你的授權令牌。

不要掃描任何來自你不認識的人或你無法驗證其合法性的QR碼。

啟用2-FactorAuthentication，以盡可能地保證你的賬戶安全。

對于服務器負責人：

審核服務器權限，特別是像webhooks這樣的高級工具。

保持官方服務器邀請函的更新，特別是如果你的大多數新服務器成員來自Discord之外的社區，請實時更新。

同樣，不要點擊可疑的或未知的鏈接，如果你的賬戶被泄露，它可能會對你所管理的社區產生更大的影響。

互聯網安全檢查表

對網絡安全保持敬畏是很重要的，以下是一些簡單而有效的方法，可以在一定程度上確保你在DMs中，甚至在Discord之外的安全。

1.只打開來自你認識的人的可信鏈接

大量的安全問題源于用戶在檢查鏈接是否是真實之前就點擊了它們，始終仔細檢查你要點擊的鏈接，linkshorteningservices可以輕易地掩蓋不安全的網站或程序。建議通過像VirusTotal這樣的資源來檢查它，看看是否有人已經把它標記為潛在的危險。

2.注意URL拼寫

3.不要下載程序或運行你不了解的代碼

4.不下載、運行來源不明的軟件

5.謹慎注意陌生人發你的程序

如果有人聲稱有"一個特別精彩的軟件”需要你在自己的電腦上運行，大概率在誤導你，以便用他們用釣魚程序獲取你的個人信息。

Discord安全檢查表

決定可以給你發送DM的名單：禁用特定服務器的DM，防止隱藏在大型社區內的騙子與你聯系。

Toadjustwhocanandcan’tDMyou,headintoUserSettings>Privacy&Safety,thenscrolldownto“ServerPrivacyDefaults.”Fromthere,you’llfindtheoptionto“Allowdirectmessagesfromservermembers.”注意，這個新狀態只適用于改變設置后加入的服務器；它不會影響你已有的服務器。

如果關閉這個選項，新加入的服務器的成員就不能通過DM聯系你，除非你事先和他們是朋友，收到來自你不認識的人的可疑信息是有一定風險的。

如果在一個你信任的服務器中，并且不介意被里面的人發消息，你可以在個人基礎上切換隱私設置。Headtothatserverondesktopormobileandselectitsnametoopentheserver'ssettings,andchoose“PrivacySettings.”Oncethere,you’llfindthe“Allowdirectmessagesfromservermembers"option.Turnthaton,andyou’refreetoreceiveallsortsofDMsfromeveryoneinthatserver,regardlessofifyou’refriendsornot!

審核服務器權限

了解模版和服務器內成員有哪些權限，是保持其中每成員安全的關鍵。如果你是一個服務器的所有者，最近檢查過權限列表嗎？誰有什么權限？你知道他們有這個權限嗎，時間有多長？

要確保只有你信任的版主才有權限改變強大的服務器工具，包括你可能添加到服務器的任何機器人，對冒充大型知名機器人的機器人要保持警惕。

保持邀請鏈接的更新

如果更新了服務器的鏈接，請確保你的社區和新用戶都了解這些變化，并時刻更新你分享這些鏈接的任何社交媒體頁面。如果可能的話，舊的邀請鏈接的引用，并讓大家知道這些鏈接已經被更新。

注意！如果有人獲取你的Discord帳戶的控制權，就可以改變你的用戶名、密碼、與賬戶綁定的電子郵件，以及與你的賬戶相關的任何其他信息。一旦盜竊者進入你的Discord賬戶，他們就能看到你的所有個人信息。從服務器布局到服務器權限，到機器人，甚至可以把你的所有用戶踢出服務器，如果你的賬戶是黑客瞄準的服務器的負責人，甚至可能利用你的賬戶作為墊腳石，在社區內進一步進行破壞，冒充你來欺騙毫無戒心的成員。

一切職業詐騙者，還可能針對那些擁有不可復制的獨特檔案徽章的Discord帳戶，如早期支持者的特許徽章等等，如果你有這些獨特的徽章之一，就應該對你的賬戶格外警惕。

建議賬戶啟用2-FactorAuthentication，因為詐騙勒索者也需要提供2FA代碼來更改你的密碼

再次重申

對于普通用戶：

不要點擊來自未知發件人或看起來可疑的鏈接。

不要下載程序或復制/粘貼你不認識的代碼。

不要把你的密碼透露給任何人!

不要分享或屏幕共享你的授權令牌。

不要掃描任何來自你不認識的人或你無法驗證其合法性的QR碼。

啟用2-FactorAuthentication，以盡可能地保證你的賬戶安全。

對于服務器負責人：

審核服務器權限，特別是像webhooks這樣的高級工具。

保持官方服務器邀請函的更新，特別是如果你的大多數新服務器成員來自Discord之外的社區，請實時更新。

同樣，不要點擊可疑的或未知的鏈接，如果你的賬戶被泄露，它可能會對你所管理的社區產生更大的影響。

關于NFT項目的一些可能的疑點

1.Discord不開公共聊天室

2.Twitter不開評論

3.非原創設計

4.?非WL(W?List)也可以在Presale中Mint

5.團隊完全匿名，尤其是設計師?

6.核心成員非常少，MOD都是網上找的志愿者?

7.從未舉辦AMA?

8.抽獎永遠只抽WL或者該項目的免費NFT?

9.除了抽獎基本沒有其他活動?

10.WL要求中，拉人頭占很大比重?

11.Presale非常倉促?

12.每個錢包的Mint數量較多?

13.項目周期比較短?

14.General頻道活躍度極低?

15.推特上沒什么人關注，評論轉發很少?

16.無其他項目方聯動

17.所有DM附帶鏈接的不要信，建議直接把DM關掉

祝愿看到本文的朋友都能平安順利！

Tags：DISISCORDSCODIS幣FiscusFYIlords幣這幾天怎么沒交易Transcodium

KuCoin