出典: アルファウサギの研究ノート

出典: アルファウサギの研究ノート

NFT市場の急速な成長に伴い、NFT市場の取引高は2021年には442億米ドル近くに達すると予想されています。巨額の誘惑により、デジタル世界の多数のプロの詐欺師やプロの詐欺師が市場に侵入しています。暗号化された世界、そして暗号化された世界のこれらの詐欺師は、経験の浅い暗号化の初心者に直面して次元削減攻撃を実行し、いくつかの有用なセキュリティガイドラインを提供するために、この記事を書く機会を得ました。

この記事は主に次の部分に分かれています。

1) Discordの初心者、またはNFTプロジェクトに参加したい場合、何に注意する必要がありますか?

2) Discordの現在の環境

3) Discord公式による安全ガイド

最初のレベルのタイトル

NFT 詐欺対策ガイド

まず、一般ユーザーが覚えておく必要のあるセキュリティ運用ガイドラインをいくつか提供します。後でさらに分析します。

まず第一に、私たちが注意しなければならないのは、詐欺の欺瞞的な性質は、通常、人間の希望、貪欲（たとえば、天は縁起が良いですね！おめでとうございます、大きな賞を獲得しました）、そして恐怖（私たちは公務員です、人を騙した場合は逮捕し、ID カードと銀行カードのパスワードを速やかに報告しなければなりません。)

0. リンクのあるすべての DM (Discord メッセージ) を信じないでください。DM を直接閉じることをお勧めします。

副題

NFTプロジェクトに関するいくつかの疑念の可能性（注意が必要）

1. Discord は公開チャット ルームを開きません

2. Twitterはコメントを受け付けません

3. 非オリジナルデザイン

4. 非WLもプレセールで造幣可能

5. チーム、特にデザイナーは完全に匿名です ️

6. コアメンバーは非常に少なく、MOD はすべてオンラインで見つけたボランティアです ️

7. AMA️ (何でも聞いてください) を開催したことがない

8. 宝くじでは常に WL またはこのアイテムの無料 NFT のみが引き出されます️

9. 抽選会以外のアクティビティは基本的にありません ️

10. WL要件の中で、ヘッド引きが大きな割合を占めます ️

11. 先行販売は大変急いでいます ️

12. 各ウォレットのミントの数が多い (3 つ以上)️

13. プロジェクトのサイクルが比較的短い (2 週間は短い)️

14. 一般チャンネルの活性が極めて低い（国産ネギの正確な収穫）️

15. Twitterでフォローしている人はほとんどいないし、コメントやリツイートも少ない ️

16. 他のプロジェクト当事者との連携はありません（優良チップホルダーは連携とはみなされません）

17. リンクのある DM をすべて信じないでください。DM を直接閉じることをお勧めします。

(上記はあくまで参考値です)

知らせ：

知らせ：背景

背景

物語から始めましょう:

2021 年 7 月、パートタイムの屋外コーチであるハートさん (50 歳) が子供たちと屋外でトレーニングをしていたとき、電線のショートにより自宅が全焼しました。住宅保険の期限が切れていたため、彼女の財産はすべて失われました。破壊されました。その後、ブロックチェーン企業Nametagからの特典を通じて、HeartはBoring Ape NFTを入手しました。

Boring Ape NFTのブランド属性は消費財の世界におけるLVシャネルに似ており、流通市場での現在の価格は数百万ドルに達する可能性があります。ハートが受け取ったとき、このサルの価値は約3万5000ドルだったが、その後は8万ドルまで値上がりした。

しかし、ちょうど昨年の8月に、Heart さんは、チャット プラットフォーム Discord 上の見知らぬ人から VeeFriends のプレゼント企画へのリンクを直接受け取りました。URL はプロジェクトの公式 Web サイトを指しており、すべてが理にかなっているように見えました。しかし、彼女がプレゼントを受け取ろうとしたとき、公式ウェブサイトで次のように入力した後、彼女の記憶に残るフレーズを入力するよう求められました。

私自身のアカウント内のイースとサルはすべて消えてしまいました。

NFT市場の急速な成長に伴い、NFT市場の取引高は2021年には442億米ドル近くに達すると予想されています。巨額の誘惑により、デジタル世界の多数のプロの詐欺師やプロの詐欺師が市場に侵入しています。暗号化された世界、そして暗号化された世界のこれらの詐欺師は、経験の浅い暗号化の初心者に直面して、次元削減ストライキを実行します。

パブリック チャット プラットフォームとして、Discord は彼らの繁殖地の 1 つです。

データによると、2022年1月には少なくとも44台のDiscordサーバーが攻撃され、損失は100万ドルを超えた。NFT プロジェクトは詐欺師にとって非常に魅力的な分野であり、産業モデルや大規模な詐欺チームを擁して NFT 分野に参入し始めている人もいます。ただし、これは Discord の成長に影響を与えていません。 9月にDiscordは5億ドルを調達し、大幅な成長の中で評価額は2倍以上の150億ドルとなった。チャット サービスはビデオゲーマーにとって長い間人気のあるプラットフォームであり、過去 1 年間で、ここは仮想通貨コミュニティにとって事実上の町の広場となり、すべての主要な NFT プロジェクトと分散型自律組織が Discord サーバーを導入するようになりました。

表面的には、Discord は、主に音声およびテキスト チャット ツールを提供する Slack や Telegram などの従来のエンタープライズ メッセージング プラットフォームと大きく異なるものを提供していません。 2015 年に設立された同社は、初期の頃は主にビデオ ゲーム プレイヤー向けのコミュニケーション プラットフォームでしたが、ここ 1 年で仮想通貨コミュニティの活動的な組織になりました。実際には、Discord は、次のような従来の企業メッセージング プラットフォームを提供していません。 Slack や Telegram とはまったく異なる価値、主に音声とテキストのチャットツールです。

Discord は主にたむろする場所でしたが、その後ゲーマーは仮想通貨の金を掘る人々に取って代わられ、その多くは分散型インターネット時代の到来を強く信じています。、NFTの価格が高騰する中、DiscordはDAOとNFTのための既製の場を提供します。管理人のいない無料のクラブと、数千人のパーティーを開催できる十分な広さの会議スペース。

2019 年から現在まで、Discord の MAU は 5,600 万から 1 億 5,000 万以上に増加しており、これによりセキュリティ上の大きな課題が生じており、個人の Discord サーバーのガバナンス ルールは反復されていません。したがって、プラットフォームのセキュリティを維持する責任は主にあります。サーバー担当者は個人、ボランティア、DAOやNFTプロジェクトの社員もおり、比較的混沌としている。

Discord はユーザーをブロックするなどの新しいモデレーション ツールを展開し、フルタイムのセキュリティ チームを雇用していますが、多くの場合、モデレーターは詐欺師がチャンネルを詐欺し始めたときの防御の最前線となります。

The way Discord is set up, it makes it really easy to fall for those scams between notifications flying in every five seconds and the way you can change your avatar, your username,” said Nicholas Ptacek, a former computer security specialist at SecureMac who now writes about NFTs and crypto. “It's kind of a scammer’s paradise.”

SecureMac の元コンピュータ セキュリティ専門家、Nicholas Ptacek 氏は次のように述べています。

"Discord の仕組み (メッセージを自由に送信でき、ユーザー名とアバターを自由に変更できる) は、ちょっとした詐欺師の楽園です。"

インターネット時代になってもフィッシング詐欺は頻繁に登場しますが、NFT業界はまだ初期の野生時代にあり、貴重なデジタル匿名性、大規模な資産、神秘的なテクノロジーを備えているため、Xiaobaiの流入...ここはまさに遊び場です。犯罪者。

分散型システムの結果、誰も何かに対して完全な責任を負うことができなくなります。 Discord にはユーザーの福祉に対するセキュリティ責任がありますか?それとも各サーバーの責任者がユーザーを保護する必要があるのでしょうか？それとも、見知らぬ人から送られてきたリンクをクリックしないなど、ユーザー自身がセキュリティの基本をすべて学ぶ必要があるのでしょうか?

セキュリティ専門家の観点から見ると、詐欺の数は 1 つの側面にすぎません。さらに重要なのは、多くの詐欺がますます巧妙化しているということです。免疫システムの仕組みと同じように：NFT保有者は、馴染みのない情報を信用しないなど、一般的な詐欺に対して一定の免疫を持っていますが、ニーモニックフレーズを保護します。ただし、セキュリティ機能は依然として制限されているため、ユーザーが Web3er を欺くための新しい方法がますます登場し始めています。

ただし、騙された側が損失を取り戻す方法は基本的にありません。 OpenSeaは盗難品にフラグを立ててプラットフォーム上で取引できないようにしますが、取引を取り消すことはできないため、盗まれたNFTを正当な所有者に返すことはできません。チルトン・ヤンバート・ポーターの知的財産弁護士であるジョナサンは、通常、被害者は盗まれたNFTをうっかり購入した人物に手紙を書き、アートワークを全額買い戻すことしかできないと考えています。関係部門はこの世界を明確に監督していないため、ほとんどの場合、敗北を認めることしかできません。

公式 Discord からの安全に関するアドバイス

まず、リンクをクリックしてサーバーに参加し、新しいエアドロップを歓迎しようとしているとき、リンクは正しいように見えても、何かがまだ間違っているように見えることがあります。

特徴１、相手の話し方が人道的ではなく、ある事柄であなたを脅したり、期限があり、「あるプロジェクトに参加しなければならない」と警告したりしていませんか？リンク？そうしないとチャンスを逃してしまいます。この種の詐欺師の特徴は、ユーザーとの共通サーバーに情報を投稿したことがなく、また、ユーザーと共有サーバーを共有しているわけでもないのに、突然会話を始めてくることです。

米連邦取引委員会によると、2021年にはオンライン詐欺が急増するとのこと。 Discord の使命は常に、Discord をインターネット上で人々が帰属意識を見つけるのに最適な場所にすることであり、興味に基づいたコミュニティが人々を結び付けるのを楽しんでいますが、それを利用しようとする危険な人々も見てきました。そのうちの。

そこでここでは、私たちが講じている追加の手順を共有し、Discord で自分自身を守るためのいくつかの方法を紹介します。以下の安全スキルを念頭に置いていただければ幸いです。

通常のユーザーの場合:

• 不明な送信者からのリンクや疑わしいと思われるリンクをクリックしないでください。

• 見覚えのないプログラムをダウンロードしたり、コードをコピー/ペーストしたりしないでください。

• パスワードは誰にも明かさないでください。

• 認証トークンを共有したり、画面を共有したりしないでください。

• 知らない人、または正当性を確認できない人からの QR コードをスキャンしないでください。

• 2 要素認証を有効にして、アカウントを可能な限り安全に保ちます。

サーバープリンシパルの場合:

• 特に Webhook などの高度なツールを使用して、サーバーのアクセス許可を監査します。

• 特に新しいサーバー メンバーのほとんどが Discord 以外のコミュニティから参加している場合は、公式サーバーへの招待を最新の状態に保ってください。

• 同様に、疑わしいリンクや不明なリンクをクリックしないでください。アカウントが侵害された場合、管理しているコミュニティに大きな影響を与える可能性があります。

インターネットの安全性チェックリスト

（Internet Safety Checklist）

文章

1. 知っている人からの信頼できるリンクのみを開く

多くのセキュリティ問題は、ユーザーがリンクが本物かどうかを確認する前にリンクをクリックすることに起因します。クリックしようとしているリンクを常に再確認してください。リンク短縮サービスは、安全でない Web サイトやプログラムを簡単に隠すことができます。 VirusTotal などのリソースを使用して、誰かが潜在的に危険であるとフラグを立てているかどうかを確認することをお勧めします。

2. URLのスペルに注意してください

3. プログラムをダウンロードしたり、理解できないコードを実行したりしないでください

4. 不明なソースからソフトウェアをダウンロードしたり実行したりしないでください。

5. 見知らぬ人から送信されたプログラムには注意してください

誰かが持っていると主張する場合"特に素晴らしいソフトウェア」は、自分のコンピュータ上で実行する必要があり、フィッシング プログラムを使用して個人情報を入手できるように誤解を招く可能性があります。

Discord の安全性チェックリスト

（Discord Safety Checklist）

• あなたに DM を送信できる人を決定する: 大規模なコミュニティに隠れている詐欺師があなたに連絡するのを防ぐために、特定のサーバーの DM を無効にします。

To adjust who can and can’t DM you, head into User Settings > Privacy & Safety, then scroll down to “Server Privacy Defaults.” From there, you’ll find the option to “Allow direct messages from server members.”この新しい状態は、設定変更後に追加されたサーバーにのみ適用され、既存のサーバーには影響しないことに注意してください。

このオプションをオフにすると、新しくサーバーに参加したメンバーは、事前に友達になっていない限り、DM で連絡することができなくなり、知らない人から不審なメッセージを受信するリスクが発生します。

信頼できるサーバーを使用していて、そのサーバー上の人々からメッセージを受信して​​も構わない場合は、プライバシー設定を個別に切り替えることができます。Head to that server on desktop or mobile and select its name to open the server's settings, and choose “Privacy Settings.” Once there, you’ll find the “Allow direct messages from server members" option. Turn that on, and you’re free to receive all sorts of DMs from everyone in that server, regardless of if you’re friends or not!

サーバー権限の監査

• サーバー内のテンプレートとメンバーにどのような権限が与えられているかを知ることは、サーバーの各メンバーを安全に保つための鍵となります。あなたがサーバー所有者であれば、最近アクセス許可リストを確認しましたか?誰がどんな権限を持っているのか？彼らがこのアクセス権を持っていることと、その期間を知っていますか?

• 信頼できるモデレータのみが、サーバーに追加するボットを含む強力なサーバー ツールを変更する権限を持っていることを確認し、大規模な有名なボットを装ったボットに注意してください。

• 招待リンクを常に最新の状態に保つ

サーバーへのリンクが更新された場合は、コミュニティと新しいユーザーがその変更を認識していることを確認し、それらのリンクを共有するソーシャル メディア ページを常に更新してください。可能であれば、古い招待リンクへの参照を含めて、これらのリンクが更新されたことを全員に知らせます。

（This is doubly-so for servers Partnered, Verified or Level 3-boosted servers that utilize a vanity URL: if your server loses or changes its custom invite link, nefarious communities may swoop in and claim your old one. If this happens before you update your public-facing invites, people trying to join your community may instead join a server that’s looking to cause trouble.   ）

知らせ！誰かがあなたの Discord アカウントを制御した場合、あなたのユーザー名、パスワード、アカウントに関連付けられたメールアドレス、およびあなたのアカウントに関連付けられたその他の情報を変更することができます。泥棒があなたの Discord アカウントにアクセスすると、あなたの個人情報をすべて見ることができます。サーバーのレイアウトからサーバーの権限、ロボットに至るまで、すべてのユーザーをサーバーから追い出すこともできます。あなたのアカウントがハッカーの標的となっているサーバーの責任者である場合は、さらに被害を与えるための踏み台としてアカウントを使用することさえできます。コミュニティ内で、あなたになりすまして、疑いを持たないメンバーを騙します。

すべてのプロの詐欺師は、初期サポーターチャーターバッジなど、複製できない固有のプロフィールバッジを持つ Discord アカウントをターゲットにすることもあります。これらの固有のバッジのいずれかを持っている場合は、アカウントに対して特に注意する必要があります。

詐欺師はパスワードを変更するために 2FA コードも提供する必要があるため、アカウントで 2 要素認証を有効にすることをお勧めします。（ウサギについては後ほど関連記事で解説していきます）

繰り返します

通常のユーザーの場合:

• 不明な送信者からのリンクや疑わしいと思われるリンクをクリックしないでください。

• 見覚えのないプログラムをダウンロードしたり、コードをコピー/ペーストしたりしないでください。

• パスワードは誰にも明かさないでください。

• 認証トークンを共有したり、画面を共有したりしないでください。

• 知らない人、または正当性を確認できない人からの QR コードをスキャンしないでください。

• 2 要素認証を有効にして、アカウントを可能な限り安全に保ちます。

サーバープリンシパルの場合:

• 特に Webhook などの高度なツールを使用して、サーバーのアクセス許可を監査します。

• 特に新しいサーバー メンバーのほとんどが Discord 以外のコミュニティから参加している場合は、公式サーバーへの招待を最新の状態に保ってください。

• 同様に、疑わしいリンクや不明なリンクをクリックしないでください。アカウントが侵害された場合、管理しているコミュニティに大きな影響を与える可能性があります。

NFTプロジェクトに関するいくつかの考えられる疑問（注意が必要、追加し続ける必要がある）

1. Discord は公開チャット ルームを開きません

2. Twitterはコメントを受け付けません

3. 非オリジナルデザイン

4. プレセールでは非WL（Wリスト）も造幣可能

5. チーム、特にデザイナーは完全に匿名です ️

6. コアメンバーは非常に少なく、MOD はすべてオンラインで見つけたボランティアです ️

7. AMA️ (何でも聞いてください) を開催したことがない

8. 宝くじでは常に WL またはこのアイテムの無料 NFT のみが引き出されます️

9. 抽選会以外のアクティビティは基本的にありません ️

10. WL要件の中で、ヘッド引きが大きな割合を占めます ️

11. 先行販売は大変急いでいます ️

12. 各ウォレットのミントの数が多い (3 つ以上)️

13. プロジェクトのサイクルが比較的短い (2 週間は短い)️

14. 一般チャンネルの活性が極めて低い（国産ネギの正確な収穫）️

15. Twitterでフォローしている人はほとんどいないし、コメントやリツイートも少ない ️

16. 他のプロジェクト当事者との連携はありません（優良チップホルダーは連携とはみなされません）

17. リンクのある DM をすべて信じないでください。DM を直接閉じることをお勧めします。

この記事を読んだ友人全員が安全で成功することを願っています。