幾乎每個NFT項目都有一個Discord服務器。 Discord 服務器對白名單訪問充滿希望,@everyone的公告源源不斷,無數用戶使用假賬戶和機器人在服務器中“升級”,等等。
一級標題
一級標題
我們可以做一些事情來降低風險水平。
2FA
如果正在使用Discord,就需要激活2FA。不管是一個服務器的管理員還是一個成員。
一級標題
一級標題
不要放棄自己的Discord登錄通證
一個Discord登錄通證是一個身份驗證通證,允許直接訪問我們的Discord帳戶。它們很有用,但也很危險,因為它們可以直接訪問我們的賬戶。他們也完全繞過了2FA。
我們的Discord登錄通證可以通過開發工具訪問Discord,很多騙子會試圖從我們那裡得到它,要求我們:
與他們分享我們的屏幕
打開我們的開發工具
導航到他們可以看到我們的登錄通證的區域
一級標題
一級標題
不要使用Webhook
一級標題
一級標題
小心機器人
大多數流行的Discord機器人是沒有風險的,主要機器人被入侵是非常罕見的。然而,稀有並不意味著不可能。
一級標題
一級標題
不要讓詐騙機器人看到我們的成員名單
在Discord上最令人沮喪的事情之一是收到來自bot賬戶的垃圾郵件,他們要么想讓我們創造令人興奮的新NFT,要么就是讓我們訪問一個釣魚網站,失去我們所有的錢。
這些機器人只是加入Discord服務器,這樣他們就可以看到成員列表,然後給每個人發私信,但是我們可以添加一個額外的hoop來隱藏我們的成員列表,直到機器人採取額外的措施來證明他們想成為服務器的一員。
創建一個#welcome/#rules頻道,所有用戶第一次加入我們的服務器時都會進入該頻道。
使用carl bot創建一個react角色,這樣當用戶對該頻道中的消息做出反應時,他們就會獲得一個“member/user/guest”角色添加到他們的帳戶中。
當他們獲得該角色時,服務器中的所有其他通道都變得可見,而#welcome/#rules頻道對他們不再可見。 (這需要手動更改頻道的可見性,並設置所有頻道是private,但對所有具有“成員”角色的用戶可見。)
這使得它,如果我們沒有默認的“成員/用戶/其他”的角色,在服務器上,我們只能看到成員列表中沒有該角色的“其他”人(也就是所有詐騙機器人)。
但如果在服務器中有默認成員角色,則無法看到其他沒有該角色的人(因此就無法看到bot,而bot也無法看到我們)。這阻止了沒有足夠資金對規則/歡迎消息做出反應的詐騙機器人,他們只是坐在大廳裡,只能看到其他詐騙機器人。所以他們不能DM 你服務器的所有實際用戶。
一級標題
一級標題
不要給我們的mod /管理員不必要的權限
除了我們自己的賬戶,我們的管理員是保護我們服務器安全防線。
通過保守地授予權限來保護我們的服務器。
原文鏈接
小結
小結
原文鏈接
