几乎每个NFT项目都有一个Discord服务器。Discord服务器对白名单访问充满希望,@everyone的公告源源不断,无数用户使用假账户和机器人在服务器中“升级”,等等。在这些用户中,有一些是子。他们在监视服务器,正在对管理员进行观察,并在寻找漏洞。他们的目标是从服务器内毫无防备的人那里偷钱,如果我们设置不当,他们就很有可能成功。
我们可以做一些事情来降低风险水平。2FA
如果正在使用Discord,就需要激活2FA。不管是一个服务器的管理员还是一个成员。在Discord上下载并设置GoogleAuthenticator(和每一个支持它的其他帐户!)
Top 100 DeFi代币市值较前一日上涨19.04%:金色财经报道,据CoinMarketCap最新数据显示,Top 100 DeFi代币市值目前约为484.83亿美元,较前一日上涨19.04%。24小时涨幅前三的DeFi代币分别是:Compound(COMP)暂报40.58美元,24小时涨幅32.45%;Aave(AAVE)暂报72.88美元,24小时涨幅26.24%;Ampleforth(AMPL)暂报1.4美元,24小时涨幅20.5%。行情波动较大,请做好风险控制。[2023/6/25 21:59:17]
David Schwed:加强区块链安全性的规则对加密技术的采用至关重要:金色财经报道,纽约梅隆银行数字资产技术前负责人David Schwed表示,当涉及到加密网络安全时,为不断发展的行业的自我监管留出空间的指导方针可能是最好的途径。某些传统的金融风险管理法规,例如《多德-弗兰克法案》中对托管人的资本储备要求,可以很容易地移植到加密货币中。??
当我们进入网络安全时,事情就会变得有点棘手,因为根据设计,法规不一定规定特定的技术或不同的策略,它意味着足够广泛,以至于它正在发生变化。区块链网络安全对于主流采用至关重要,因为黑客的盛行会让机构保持观望,并吓到监管机构。
据悉,David Schwed在纽约梅隆银行工作一年后,于 2022 年 6 月加入区块链网络安全公司Halborn,担任其首席运营官。此外,他于 2018 年担任 Galaxy Digital 的首席信息安全官。[2023/5/24 15:21:58]
如果是服务器所有者,所有审核活动都需要2FA。
美国前总统的副参谋长正在为Blockchain.com提供政策游说指导:9月20日消息,美国前总统巴拉克奥巴马(Barack Obama)的副参谋长Jim Messina正在为Blockchain.com提供一些强有力的游说指导。首席商务官Lane Kasselman在接受CNBC采访时表示,Jim Messina去年初加入了Blockchain.com的董事会,成为其政府关系和政策战略的重要顾问。
Blockchain.com是游说数字金融资产法的一部分的加密公司之一,该法将加强加利福尼亚州加密行业监管。Kasselman表示,在法案提出后,他们提供了修正和反馈,主要修订重点是该法案的实施期。如果由州长Gavin Newsom签署成为法律,该法案将于2025年生效,并要求数字资产交易所等公司通过该州的金融保护和创新部获得许可证。(CNBC)[2022/9/20 7:07:23]
元宇宙架构初创公司Smobler Studios完成120万美元种子轮融资:9月7日消息,元宇宙架构初创公司 Smobler Studios 宣布完成 120 万美元的种子轮融资,本轮融资 The Sandbox、加速器和风险投资基金 Brinc、以及 Web3 融资平台 Enjinstarter 等参投。Smobler Studios 承诺将与 The Sandbox 合作以帮助品牌和服务提供商在元宇宙世界里更便捷地进行支付交易。[2022/9/7 13:12:57]
不要放弃自己的Discord登录通证
一个Discord登录通证是一个身份验证通证,允许直接访问我们的Discord帐户。它们很有用,但也很危险,因为它们可以直接访问我们的账户。他们也完全绕过了2FA。我们的Discord登录通证可以通过开发工具访问Discord,很多子会试图从我们那里得到它,要求我们:与他们分享我们的屏幕打开我们的开发工具导航到他们可以看到我们的登录通证的区域使用登录通证访问我们的帐户毁掉我们,毁掉我们拥有管理权限的所有服务器不要使用Webhook
和其他很多东西一样,Webhook让生活变得更简单,但也带来了额外的危险。如果有人访问了我们的Webhook,他们可以控制它们,并向Discord服务器发布官方消息。这些消息可以包含任何东西——假的白名单url,钓鱼式url——任何可能导致丢失的内容。小心机器人
大多数流行的Discord机器人是没有风险的,主要机器人被入侵是非常罕见的。然而,稀有并不意味着不可能。曾经,流行的MEE6机器人被入侵,并被用来向一个Discord服务器发布假消息。这些虚假信息引起了一时的轰动,但并未造成损失。当安装机器人到我们的Discord时,一定要仔细检查他们请求的权限。不要让机器人看到我们的成员名单
在Discord上最令人沮丧的事情之一是收到来自bot账户的垃圾邮件,他们要么想让我们创造令人兴奋的新NFT,要么就是让我们访问一个钓鱼网站,失去我们所有的钱。
这些机器人只是加入Discord服务器,这样他们就可以看到成员列表,然后给每个人发私信,但是我们可以添加一个额外的hoop来隐藏我们的成员列表,直到机器人采取额外的措施来证明他们想成为服务器的一员。创建一个#welcome/#rules频道,所有用户第一次加入我们的服务器时都会进入该频道。使用carlbot创建一个react角色,这样当用户对该频道中的消息做出反应时,他们就会获得一个“member/user/guest”角色添加到他们的帐户中。当他们获得该角色时,服务器中的所有其他通道都变得可见,而#welcome/#rules频道对他们不再可见。(这需要手动更改频道的可见性,并设置所有频道是private,但对所有具有“成员”角色的用户可见。)这使得它,如果我们没有默认的“成员/用户/其他”的角色,在服务器上,我们只能看到成员列表中没有该角色的“其他”人。但如果在服务器中有默认成员角色,则无法看到其他没有该角色的人(因此就无法看到bot,而bot也无法看到我们)。这阻止了没有足够资金对规则/欢迎消息做出反应的机器人,他们只是坐在大厅里,只能看到其他机器人。所以他们不能DM你服务器的所有实际用户。这不会阻止故意进入服务器并发布和其他任何内容的人类用户。如果不相信服务器可以保护我们免受不必要的DM侵害,我们可以禁用任何服务器成员的DM。只需右键单击服务器>隐私设置>允许来自服务器成员的直接消息。
不要给我们的mod/管理员不必要的权限
除了我们自己的账户,我们的管理员是保护我们服务器安全防线。通过保守地授予权限来保护我们的服务器。这一点尤其重要,因为子可以使用工具窥探用户权限。这可以帮助他们找到他们的目标。小结
花时间了解风险和漏洞,学习其规则,并保护我们的用户。因为如果我们不保护他们,他们就很容易赔钱,这也会给项目和声誉带来污点。原地址
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。