Nguồn gốc: Ghi chú nghiên cứu thỏ Alpha

Nguồn gốc: Ghi chú nghiên cứu thỏ Alpha

Với sự phát triển nhanh chóng của thị trường NFT, khối lượng giao dịch của thị trường NFT sẽ đạt gần 44,2 tỷ đô la Mỹ vào năm 2021. Sự cám dỗ của số tiền khổng lồ đã khiến một số lượng lớn những kẻ lừa đảo chuyên nghiệp và những kẻ lừa đảo chuyên nghiệp trong thế giới kỹ thuật số xâm nhập vào thế giới được mã hóa và những kẻ lừa đảo trong thế giới được mã hóa này, khi đối mặt với những người mới sử dụng mã hóa Thiếu kinh nghiệm thực hiện các cuộc tấn công giảm kích thước, nhằm cung cấp cho bạn một số hướng dẫn bảo mật hữu ích, đây là cơ hội để viết bài này.

Bài viết này chủ yếu được chia thành các phần sau:

1) Là người mới tham gia Discord hoặc muốn tham gia các dự án NFT, bạn nên chú ý điều gì?

2) Môi trường hiện tại của Discord

3) Hướng dẫn an toàn từ chính thức của Discord

tiêu đề cấp đầu tiên

Hướng dẫn chống lừa đảo NFT

Trước tiên hãy cung cấp một số nguyên tắc hoạt động bảo mật mà người dùng thông thường cần ghi nhớ và chúng tôi sẽ phân tích kỹ hơn sau.

Trước hết, chúng ta phải chú ý đến: bản chất lừa đảo của trò lừa đảo thường là lợi dụng hy vọng, lòng tham của con người (ví dụ như ông trời tốt lành! Xin chúc mừng, bạn đã trúng giải lớn) và sự sợ hãi (chúng tôi là nhân viên chính thức, bạn đã lừa dối mọi người, bạn phải bắt giữ bạn và nhanh chóng báo cáo ID và mật khẩu thẻ ngân hàng của bạn).

0. Đừng tin tất cả DM (Discord Message) có link, nên đóng DM trực tiếp

tiêu đề phụ

Một số nghi ngờ có thể xảy ra đối với các dự án NFT (cần chú ý)

1. Discord không mở phòng chat công khai

2. Twitter không mở bình luận

3. Thiết kế không nguyên bản

4. Non-WL cũng có thể Mint trong Presale

5. Nhóm hoàn toàn ẩn danh, đặc biệt là các nhà thiết kế ️

6. Có rất ít thành viên cốt lõi và các MOD đều là tình nguyện viên được tìm thấy trực tuyến ️

7. Chưa bao giờ tổ chức AMA️ (Ask Me Anything)

8. Xổ số sẽ luôn chỉ rút được WL hoặc NFT miễn phí của vật phẩm này️

9. Về cơ bản không có hoạt động nào khác ngoài bốc thăm may mắn ️

10. Trong các yêu cầu của WL, kéo đầu chiếm tỷ trọng lớn ️

11. Presale vội vàng quá ️

12. Số lượng Mint trong mỗi ví lớn (3 là nhiều hơn)️

13. Chu kỳ dự án tương đối ngắn (2 tuần là ngắn)️

14. Hoạt động của Kênh chung cực kỳ thấp (thu hoạch tỏi tây trong nước chính xác)️

15. Ít người theo dõi trên Twitter, ít bình luận và tin nhắn lại ️

16. Không có liên kết với các bên dự án khác (Chủ sở hữu blue chip không được coi là liên kết)

17. Đừng tin tất cả DM có link, nên đóng DM trực tiếp

(Trên đây chỉ mang tính chất tham khảo)

Để ý:

Để ý:lý lịch

lý lịch

Hãy bắt đầu bằng một câu chuyện:

Vào tháng 7 năm 2021, khi Heart, một huấn luyện viên ngoài trời bán thời gian 50 tuổi, đang tập luyện ngoài trời cùng các con thì ngôi nhà của cô bị cháy do chập dây điện. đã bị phá hủy. Sau đó, thông qua quà tặng từ công ty chuỗi khối Nametag, Heart đã nhận được NFT Boring Ape.

Thuộc tính thương hiệu của Boring Ape NFT giống như LV Chanel trong thế giới hàng tiêu dùng và giá hiện tại trên thị trường thứ cấp có thể lên tới hàng triệu đô la. Con khỉ trị giá khoảng 35.000 đô la khi Heart nhận được nó, và kể từ đó đã tăng lên 80.000 đô la.

Nhưng mới tháng 8 vừa qua,Heart đã nhận được một liên kết đến quà tặng VeeFriends được gửi trực tiếp từ một người lạ trên nền tảng trò chuyện Discord và mọi thứ dường như có ý nghĩa, với URL trỏ đến trang web chính thức của dự án.Tuy nhiên, khi cô chuẩn bị nhận món quà, trang web chính thức yêu cầu cô nhập cụm từ dễ nhớ, sau khi cô nhập:

Tất cả Eth và khỉ trong tài khoản của tôi đã biến mất.

Với sự phát triển nhanh chóng của thị trường NFT, khối lượng giao dịch của thị trường NFT sẽ đạt gần 44,2 tỷ đô la Mỹ vào năm 2021. Sự cám dỗ của số tiền khổng lồ đã khiến một số lượng lớn những kẻ lừa đảo chuyên nghiệp và những kẻ lừa đảo chuyên nghiệp trong thế giới kỹ thuật số xâm nhập vào thế giới được mã hóa và những kẻ lừa đảo này trong thế giới được mã hóa, khi đối mặt với những người mới sử dụng mã hóa chưa có kinh nghiệm thực hiện các cuộc đình công giảm kích thước.

Là một nền tảng trò chuyện công khai, Discord là một trong những nơi sinh sản của họ.

Dữ liệu cho thấy vào tháng 1 năm 2022, ít nhất 44 máy chủ Discord đã bị tấn công và thiệt hại vượt quá 1 triệu USD.Dự án NFT là một đấu trường rất hấp dẫn đối với những kẻ lừa đảo, một số người đã bắt đầu tham gia vào lĩnh vực NFT với các mô hình công nghiệp và các nhóm lừa đảo quy mô lớn. Tuy nhiên, không điều nào trong số này ảnh hưởng đến sự phát triển của Discord. Vào tháng 9, Discord đã huy động được 500 triệu đô la, tăng hơn gấp đôi mức định giá lên 15 tỷ đô la trong bối cảnh tăng trưởng vượt bậc. Các dịch vụ trò chuyện từ lâu đã trở thành một nền tảng phổ biến cho những người chơi video,Trong năm qua, nó đã trở thành quảng trường thị trấn trên thực tế cho cộng đồng tiền điện tử, đến mức mọi dự án NFT lớn và tổ chức tự trị phi tập trung hiện đều có máy chủ Discord.

Nhìn bề ngoài, Discord không cung cấp bất kỳ điều gì khác biệt đáng kể so với các nền tảng nhắn tin doanh nghiệp truyền thống như Slack hoặc Telegram, chủ yếu cung cấp các công cụ trò chuyện bằng giọng nói và văn bản. Được thành lập vào năm 2015, ban đầu công ty chủ yếu là một nền tảng giao tiếp cho người chơi trò chơi điện tử, nhưng trong năm qua, nó đã trở thành một tổ chức tích cực cho cộng đồng tiền điện tử, nhưng trên thực tế Discord không cung cấp bất kỳ nền tảng nhắn tin truyền thống nào của công ty như như Slack hoặc Telegram. giá trị hoàn toàn khác,Nó chủ yếu là một công cụ trò chuyện bằng giọng nói và văn bản.

Discord chủ yếu là một nơi để đi chơi, nhưng các game thủ đã bị thay thế bởi những người đào vàng tiền điện tử, nhiều người trong số họ tin tưởng chắc chắn vào sự ra đời của thời đại internet phi tập trungvà khi giá NFT tăng cao, Discord cung cấp một địa điểm sẵn sàng cho DAO và NFT,Một câu lạc bộ miễn phí không có người gác cổng và không gian hội họp đủ lớn để tổ chức các bữa tiệc hàng nghìn người。

Từ năm 2019 đến nay, MAU của Discord đã tăng từ 56 triệu lên hơn 150 triệu, điều này đã mang đến những thách thức lớn về bảo mật và các quy tắc quản trị cho máy chủ Discord cá nhân không được lặp lại. Đó là cá nhân phụ trách máy chủ, một số là tình nguyện viên, một số là nhân viên của các dự án DAO và NFT.

Mặc dù Discord đã triển khai các công cụ kiểm duyệt mới như chặn người dùng và thuê một nhóm bảo mật toàn thời gian, nhưng người kiểm duyệt thường là tuyến phòng thủ đầu tiên khi những kẻ lừa đảo bắt đầu lừa đảo một kênh.

The way Discord is set up, it makes it really easy to fall for those scams between notifications flying in every five seconds and the way you can change your avatar, your username,” said Nicholas Ptacek, a former computer security specialist at SecureMac who now writes about NFTs and crypto. “It's kind of a scammer’s paradise.”

Theo Nicholas Ptacek, cựu chuyên gia bảo mật máy tính tại SecureMac:

"Cách thức hoạt động của Discord (bạn có thể gửi tin nhắn theo ý muốn, bạn có thể thay đổi tên người dùng và hình đại diện theo ý muốn) là một chút thiên đường của những kẻ lừa đảo."

Ngay cả trong thời đại Internet, các âm mưu lừa đảo sẽ xuất hiện thường xuyên, nhưng vì ngành công nghiệp NFT vẫn còn trong thời kỳ đầu hoang dã, với tính ẩn danh kỹ thuật số có giá trị, tài sản lớn và công nghệ bí ẩn, nên dòng chảy của Xiaobai... Đây thực sự là một sân chơi cho tội phạm.

Hệ quả của hệ thống phi tập trung là không ai có thể chịu trách nhiệm hoàn toàn về một việc gì đó. Discord có trách nhiệm bảo mật đối với phúc lợi của người dùng không? Hay người phụ trách của mỗi máy chủ cần phải bảo vệ người dùng? Hay bản thân người dùng cần học tất cả những điều cơ bản về bảo mật, chẳng hạn như không nhấp vào liên kết được gửi bởi người lạ?

Dưới góc nhìn của các chuyên gia bảo mật, số lượng các vụ lừa đảo chỉ là một khía cạnh, quan trọng hơn là nhiều vụ lừa đảo ngày càng tinh vi hơn. Cũng giống như cách hệ thống miễn dịch hoạt động:Mặc dù những người nắm giữ NFT có khả năng miễn dịch nhất định đối với các trò gian lận phổ biến, chẳng hạn như không tin vào bất kỳ thông tin lạ nào, nhưng họ sẽ bảo vệ các cụm từ dễ nhớ của mình. Tuy nhiên, do các tính năng bảo mật vẫn còn hạn chế nên ngày càng có nhiều chiêu thức mới bắt đầu xuất hiện để người dùng đánh lừa Web3er.

Tuy nhiên, về cơ bản không có cách nào để người bị lừa lấy lại những mất mát của họ. Mặc dù OpenSea gắn cờ các mặt hàng bị đánh cắp và ngăn chúng được giao dịch trên nền tảng, nhưng nó không thể đảo ngược các giao dịch, nghĩa là nó không thể trả lại NFT bị đánh cắp cho chủ sở hữu hợp pháp của chúng.Jonathan, luật sư sở hữu trí tuệ tại Chilton Yambert Porter, tin rằng thông thường, nạn nhân chỉ có thể viết thư cho người đã vô tình mua NFT bị đánh cắp và mua lại toàn bộ tác phẩm nghệ thuật. Bởi vì các bộ phận liên quan không có sự giám sát rõ ràng đối với thế giới này, nên hầu hết thời gian họ chỉ có thể sẵn sàng thừa nhận thất bại.

Lời khuyên an toàn từ Discord chính thức

Trước hết, khi chúng ta chuẩn bị nhấp vào liên kết để tham gia máy chủ và chào mừng airdrop mới, có thể xảy ra trường hợp mặc dù liên kết có vẻ đúng nhưng vẫn có điều gì đó không ổn.

Đặc điểm 1, cách nói chuyện của bên kia không nhân văn, chẳng hạn như đe dọa bạn về một số vấn đề và có thời hạn nhất định, cảnh báo bạn rằng bạn phải tham gia một dự án nào đó? Liên kết? Nếu không bạn sẽ đánh mất cơ hội của mình. Một trong những đặc điểm của loại lừa đảo này là anh ta chưa bao giờ đăng thông tin trên bất kỳ máy chủ chung nào với người dùng, cũng như không chia sẻ máy chủ chung với bạn, nhưng anh ta sẽ bất ngờ bắt chuyện.

Theo Ủy ban Thương mại Liên bang, năm 2021 sẽ chứng kiến ​​sự gia tăng của các vụ lừa đảo trực tuyến. Mặc dù sứ mệnh của Discord luôn là biến Discord trở thành nơi tốt nhất trên internet để mọi người tìm thấy cảm giác thân thuộc và chúng tôi rất vui khi thấy các cộng đồng dựa trên sở thích mang mọi người lại với nhau, chúng tôi cũng đã thấy một số kẻ nguy hiểm cố gắng lợi dụng của họ.

Vì vậy, ở đây chúng tôi muốn chia sẻ với bạn các bước bổ sung mà chúng tôi đang thực hiện và giới thiệu một số cách bạn có thể tự bảo vệ mình trên Discord. Tôi hy vọng bạn ghi nhớ những kỹ năng an toàn này:

Đối với người dùng thông thường:

• Không nhấp vào các liên kết từ những người gửi không xác định hoặc có vẻ đáng ngờ.

• Không tải xuống các chương trình hoặc sao chép/dán mã mà bạn không nhận ra.

• Không tiết lộ mật khẩu của bạn cho bất cứ ai!

• Không chia sẻ hoặc chia sẻ màn hình mã thông báo ủy quyền của bạn.

• Không quét bất kỳ mã QR nào từ những người bạn không biết hoặc những người mà bạn không thể xác minh tính hợp pháp của họ.

• Bật Xác thực 2 yếu tố để giữ cho tài khoản của bạn an toàn nhất có thể.

Đối với hiệu trưởng máy chủ:

• Kiểm tra quyền của máy chủ, đặc biệt là với các công cụ nâng cao như webhook.

• Luôn cập nhật lời mời của máy chủ chính thức, đặc biệt nếu hầu hết thành viên máy chủ mới của bạn đến từ các cộng đồng bên ngoài Discord.

• Tương tự như vậy, không nhấp vào các liên kết đáng ngờ hoặc không xác định, nếu tài khoản của bạn bị xâm phạm, điều đó có thể có tác động lớn hơn đến cộng đồng mà bạn kiểm duyệt.

Danh sách kiểm tra an toàn Internet

（Internet Safety Checklist）

chữ

1. Chỉ mở các liên kết đáng tin cậy từ những người bạn biết

Rất nhiều vấn đề bảo mật bắt nguồn từ việc người dùng nhấp vào các liên kết trước khi kiểm tra xem chúng có thật hay không. Luôn kiểm tra kỹ các liên kết bạn sắp nhấp. Các dịch vụ rút gọn liên kết có thể dễ dàng che giấu các trang web hoặc chương trình không an toàn. Bạn nên kiểm tra nó thông qua một tài nguyên như VirusTotal để xem liệu có ai đó đã gắn cờ nó là nguy hiểm tiềm tàng hay không.

2. Chú ý đến chính tả URL

3. Không tải xuống các chương trình hoặc chạy mã mà bạn không hiểu

4. Không tải hoặc chạy phần mềm không rõ nguồn gốc

5. Thận trọng với các chương trình do người lạ gửi cho bạn

nếu ai đó tuyên bố có"Một phần mềm đặc biệt tuyệt vời" yêu cầu bạn chạy trên máy tính của chính mình và phần mềm này có khả năng đánh lừa bạn để họ có thể sử dụng các chương trình lừa đảo để lấy thông tin cá nhân của bạn.

Danh sách kiểm tra an toàn Discord

（Discord Safety Checklist）

• Quyết định ai có thể gửi tin nhắn trực tiếp cho bạn: Vô hiệu hóa tin nhắn trực tiếp cho các máy chủ cụ thể để ngăn những kẻ lừa đảo ẩn náu trong các cộng đồng lớn liên hệ với bạn.

To adjust who can and can’t DM you, head into User Settings > Privacy & Safety, then scroll down to “Server Privacy Defaults.” From there, you’ll find the option to “Allow direct messages from server members.”Lưu ý rằng trạng thái mới này chỉ áp dụng cho các máy chủ được thêm sau khi thay đổi cài đặt; trạng thái này sẽ không ảnh hưởng đến các máy chủ hiện tại của bạn.

Nếu tùy chọn này bị tắt, các thành viên mới tham gia của máy chủ sẽ không thể liên hệ với bạn qua DM trừ khi bạn là bạn của họ trước đó, có một số rủi ro khi nhận được tin nhắn đáng ngờ từ những người bạn không biết.

Nếu bạn đang sử dụng máy chủ mà bạn tin tưởng và không ngại bị mọi người trên đó nhắn tin, bạn có thể chuyển đổi cài đặt quyền riêng tư trên cơ sở cá nhân.Head to that server on desktop or mobile and select its name to open the server's settings, and choose “Privacy Settings.” Once there, you’ll find the “Allow direct messages from server members" option. Turn that on, and you’re free to receive all sorts of DMs from everyone in that server, regardless of if you’re friends or not!

Kiểm tra quyền của máy chủ

• Biết những quyền nào có sẵn cho các mẫu và thành viên trong máy chủ là chìa khóa để giữ an toàn cho từng thành viên của máy chủ. Nếu bạn là chủ sở hữu máy chủ, gần đây bạn đã kiểm tra danh sách quyền chưa? Ai có thẩm quyền gì? Bạn có biết họ có quyền truy cập này và trong bao lâu không?

• Đảm bảo rằng chỉ những người kiểm duyệt mà bạn tin tưởng mới có quyền thay đổi các công cụ máy chủ mạnh mẽ, bao gồm bất kỳ bot nào bạn có thể thêm vào máy chủ của mình và cảnh giác với các bot giả dạng là các bot lớn, nổi tiếng.

• Luôn cập nhật liên kết lời mời

Nếu các liên kết đến máy chủ được cập nhật, hãy đảm bảo rằng cộng đồng của bạn và người dùng mới biết về các thay đổi và luôn cập nhật bất kỳ trang mạng xã hội nào mà bạn chia sẻ các liên kết đó. Nếu có thể, hãy bao gồm các tham chiếu đến các liên kết mời cũ và cho mọi người biết rằng các liên kết này đã được cập nhật.

（This is doubly-so for servers Partnered, Verified or Level 3-boosted servers that utilize a vanity URL: if your server loses or changes its custom invite link, nefarious communities may swoop in and claim your old one. If this happens before you update your public-facing invites, people trying to join your community may instead join a server that’s looking to cause trouble.   ）

Để ý! Nếu ai đó giành quyền kiểm soát tài khoản Discord của bạn, họ có thể thay đổi tên người dùng, mật khẩu, email được liên kết với tài khoản và bất kỳ thông tin nào khác được liên kết với tài khoản của bạn.Sau khi kẻ trộm có quyền truy cập vào tài khoản Discord của bạn, chúng có thể xem tất cả thông tin cá nhân của bạn. Từ cách bố trí máy chủ đến quyền của máy chủ, đến robot, thậm chí bạn có thể đuổi tất cả người dùng của mình ra khỏi máy chủ, nếu tài khoản của bạn là người phụ trách máy chủ bị tin tặc nhắm đến, bạn thậm chí có thể sử dụng tài khoản của mình làm bàn đạp để gây thêm thiệt hại trong cộng đồng, Mạo danh bạn để lừa các thành viên nhẹ dạ.

Tất cả những kẻ lừa đảo chuyên nghiệp cũng có thể nhắm mục tiêu các tài khoản Discord có huy hiệu hồ sơ duy nhất không thể trùng lặp, chẳng hạn như huy hiệu điều lệ người ủng hộ sớm, v.v. Nếu bạn có một trong những huy hiệu duy nhất này, bạn nên hết sức cảnh giác với tài khoản của mình.

Bạn nên bật Xác thực 2 yếu tố trên tài khoản, vì những kẻ lừa đảo cũng cần cung cấp mã 2FA để thay đổi mật khẩu của bạn(Thỏ sẽ tiếp tục giải thích ở các bài liên quan sau)

nhắc lại

Đối với người dùng thông thường:

• Không nhấp vào các liên kết từ những người gửi không xác định hoặc có vẻ đáng ngờ.

• Không tải xuống các chương trình hoặc sao chép/dán mã mà bạn không nhận ra.

• Không tiết lộ mật khẩu của bạn cho bất cứ ai!

• Không chia sẻ hoặc chia sẻ màn hình mã thông báo ủy quyền của bạn.

• Không quét bất kỳ mã QR nào từ những người bạn không biết hoặc những người mà bạn không thể xác minh tính hợp pháp của họ.

• Bật Xác thực 2 yếu tố để giữ cho tài khoản của bạn an toàn nhất có thể.

Đối với hiệu trưởng máy chủ:

• Kiểm tra quyền của máy chủ, đặc biệt là với các công cụ nâng cao như webhook.

• Luôn cập nhật lời mời của máy chủ chính thức, đặc biệt nếu hầu hết thành viên máy chủ mới của bạn đến từ các cộng đồng bên ngoài Discord.

• Tương tự như vậy, không nhấp vào các liên kết đáng ngờ hoặc không xác định, nếu tài khoản của bạn bị xâm phạm, điều đó có thể có tác động lớn hơn đến cộng đồng mà bạn kiểm duyệt.

Một số nghi ngờ có thể có về dự án NFT (cần lưu ý, cần tiếp tục bổ sung)

1. Discord không mở phòng chat công khai

2. Twitter không mở bình luận

3. Thiết kế không nguyên bản

4. Non-WL (Danh sách W) cũng có thể là Mint trong Presale

5. Nhóm hoàn toàn ẩn danh, đặc biệt là các nhà thiết kế ️

6. Có rất ít thành viên cốt lõi và các MOD đều là tình nguyện viên được tìm thấy trực tuyến ️

7. Chưa bao giờ tổ chức AMA️ (Ask Me Anything)

8. Xổ số sẽ luôn chỉ rút được WL hoặc NFT miễn phí của vật phẩm này️

9. Về cơ bản không có hoạt động nào khác ngoài bốc thăm may mắn ️

10. Trong các yêu cầu của WL, kéo đầu chiếm tỷ trọng lớn ️

11. Presale vội vàng quá ️

12. Số lượng Mint trong mỗi ví lớn (3 là nhiều hơn)️

13. Chu kỳ dự án tương đối ngắn (2 tuần là ngắn)️

14. Hoạt động của Kênh chung cực kỳ thấp (thu hoạch tỏi tây trong nước chính xác)️

15. Ít người theo dõi trên Twitter, ít bình luận và tin nhắn lại ️

16. Không có liên kết với các bên dự án khác (Chủ sở hữu blue chip không được coi là liên kết)

17. Đừng tin tất cả DM có link, nên đóng DM trực tiếp

Chúc tất cả những người bạn đọc bài viết này sẽ bình an và thành công!