«​У чатов и крипты извилистый и неприятный путь»: почему Discord не самое безопасное пристанище для криптосообществ

Геймерское приложение давно «обжили» криптопроекты. Но аккаунты и сервера часто взламывают, а приватные чаты не такие уж приватные. Как работают в Discord хакеры, чем оправдывается компания и каких ботов установить, чтобы обезопасить сервер, — в кратком пересказе Vice.

Источник: <a href="https://nftnewspro.com/top-nft-discord-servers/" rel="nofollow noreferrer noopener" target="_blank">NFT News</a>
Источник: NFT News

За семь лет работы «геймерский» мессенджер Discord превратился в пристанище для криптопроектов со всего мира, пишет Vice. Так говорило и отраслевое издание Finextra, и платформа CoinDesk. По мнению последней, Discord — отличный способ найти единомышленников и сторонников любимых блокчейнов и монет.

В мае 2022 года изучить сервис взялся основатель блокчейн-проекта Origin Protocol Джош Фрейзер. Он хотел настроить на сервере автоскрипт, который бы фиксировал упоминание в чатах заданных Фрейзером слов и предупреждал бы его об этом.

К приватным каналам Фрейзер получить доступ не смог, но зато видел часть данных по ним: названия, описания, полный список участников. Этого уже достаточно, чтобы прознать о потенциальном листинге валюты на крупной бирже и пустить об этом слухи, провоцируя рост стоимости монеты. Или предположить, у кого есть право подписывать транзакции от лица компании.

Представители традиционного финансового рынка обычно общаются согласно протоколам. У пользователей терминалов Bloomberg, например, есть внутренний мессенджер Instant Bloomberg. Каждый его пользователь сперва подтверждает личность, а потом входит в систему по отпечатку пальца.

Такой контроль, конечно, противоречит идеологии децентрализованных финансов (DeFi), но Discord, в свою очередь, не гарантирует криптоэнтузиастам должного уровня безопасности. В чатах нет шифрования, история переписки в каналах доступна всем, кто в них вступает, данные о частных чатах, как выяснил Фрейзер, тоже можно достать.

Cам Discord собирался разработать функции специально для криптосообществ и прекрасно знает об уязвимости, на которую указал им Фрейзер. Однако геймерам, по словам издания, идея не понравилась, да и саму крипту как таковую многие из них порицают, пишет издание.

Геймеры и криптоэнтузиасты одинаково высоко ценят анонимность, но совсем по-разному рискуют

Скорее всего, приложение привлекает большинство пользователей простым интерфейсом, многофункциональностью онлайн-сообществ и возможностью сохранять анонимность. Но в криптовалютном мире много мошенников, к чему Discord изначально не был готов, пишет Vice.

Злоумышленники распространяют фишинговые ссылки, а ещё взламывают отдельные аккаунты и целые сервера. В апреле 2022 года, например, хакеры атаковали NFT-сообщество Bored Ape Yacht Club. А в мае попытались получить доступ к кошелькам участников группы NFT-маркетплейса OpenSea.

В этом случае криптоэнтаузиасты верили мошенническим сообщениям, потому что получали их от официальных ботов. Но система никак не предупреждает пользователя даже о потенциально опасных личных сообщениях, если только он не запретил входящие от людей не из списка контактов.

«Предупредительная плашка решение хоть и примитивное, но здорово бы всем помогло», — считает соучредитель аудиторской фирмы Zellic Стивен Тонг.

Специалист по кибербезопасности Джесси Ирвин заметила, что оборот набирает ещё одна схема: мошенник платит за подписку Discord Nitro и использует благодаря ей разные псевдонимы на разных серверах. С одним таким хакером столкнулась и сама Ирвин. Он выдал себя за гендиректора фирмы, в которой работала девушка, указав его имя и номер аккаунта в Discord.

«Наша служба безопасности обратилась в техподдержку Discord. Та спросила, почему мы сами на него не пожаловались, но сделать это можно, только если у тебя есть личное сообщение от злоумышленника», — объясняет специалист.

Чем больше такой свободы у хакеров в Discord, тем организованнее они становятся, говорит гендиректор DeFi-проекта Immunefi Митчелл Амадор. По его словам, приложение строили без какой-либо мысли о безопасности данных или полной конфиденциальности.

Мошенники объединяются в группы из десятков и даже сотен тысяч человек. Это по сути целые корпорации, которые пришли добиваться общей цели, атакуя скопы аккаунтов, и буквально «прорываться» сквозь Discord. Вот только само приложение к таким постоянным серьёзным угрозам изначально не было готово.

Митчелл Амадор, гендиректор Immunefi

С тем же согласен и Стивен Тонг. По его словам, вся проблема в том, что приложение создавали прежде всего для геймеров, у которых совсем другие потребности и заботы. Да, в Discord крайне трудно вычислить чей-то IP, пользоваться сервисом можно под псевдонимом. Но если у геймеров можно украсть разве что игровые тактики, то у криптоэнтузиастов — деньги.

Discord пытался показать, что слышит запросы криптосообщества, но пока что это ни к чему не привело. Например, в ноябре 2021 года гендиректор Discord Джейсон Ситрон рассказал, что в будущем пользователи смогут подключать к приложению криптокошельки.

Однако «основная» аудитория Discord была категорически против. Геймеры грозились отменить свои платные подписки и призывали других не оформлять даже бесплатный пробный период. Поэтому руководству пришлось публично отказаться от этой идеи.

Джейсон Ситрон. Источник: <a href="https://www.google.com/url?sa=i&amp;url=https%3A%2F%2Fnft-arty.com%2Fdzhejson-czitron-ob-nft%2F&amp;psig=AOvVaw1VbK1znlLIv8gPOxml-CZr&amp;ust=1654341576972000&amp;source=images&amp;cd=vfe&amp;ved=0CA0QjhxqFwoTCOD-5OKUkfgCFQAAAAAdAAAAABAJ" rel="nofollow noreferrer noopener" target="_blank">NFT-Arty</a>
Джейсон Ситрон. Источник: NFT-Arty

В Discord также говорили, что серьёзно относятся к вопросу безопасности. Компания продолжает инвестировать в защитные инструменты, модерирует спам, предупреждает об опасных ссылках. А ещё тестирует алгоритмы, которые выявляют подозрительное поведение на серверах и переводят их в «безопасный режим», заставляя пользователей вводить «капчу».

Но проблема не только в фишинговых ссылках, говорит Джесси Ирвин. В приложении распространяют также вредоносное ПО. А ещё пользуются методами социальной инженерии — почему и пытаются присылать мошеннический контент от лица представителей проектов или их официальных ботов.

Криптоэнтузиастам остаётся только приспосабливаться

Достойных альтернатив Discord пока что нет, пишет Vice. Некоторые криптопроекты пользуются Telegram, но функций для сообществ там меньше. Именно поэтому они вынуждены приноровиться к Discord, и есть разработчики, которые готовы им в этом помочь.

Один из таких создал бесплатный инструмент Good Knight — это бот, который, помимо прочего, контролирует размещение ссылок на сервере. Если предложенного пользователем сайта нет в одобренном администраторами списке, система попросит его ввести пароль.

В теории хакер может взломать аккаунт администратора и отключить бота. Чтобы этого избежать и в принципе обезопаситься от взломов, создатель предлагает администраторам создавать сразу два аккаунта:

  • «Холодный» — со всеми разрешениями. С этой страницы администратор должен появляться в сети только для решения управленческих задач: например, чтобы добавить бота, создать или удалить канал.
  • «Горячий» — без разрешений. Его администратор должен использовать для повседневного общения.

Так у пользователей на виду будет «горячий» аккаунт руководителя страницы. Если хакер его взломает, отключить бота он не сможет.

На рынке также есть бот Collab.land — причём не только для Discord, но и для Telegram. Благодаря интеграции с кошельком Metamask он будет пускать в сообщество только тех пользователей, у которых на счету есть указанный администраторами криптоактив. Если они его продадут, система автоматически исключит их из чатов.

Вот как работает бот Good Knight

Сперва криптоэнтузиасты сидели на форуме Bitcoin Talk, потом пытались строить группы в Slack и Telegram и даже осваивались в Clubhouse. Теперь приоритетная платформа для создания криптосообществ — это Discord, пишет издание. Однако всё ещё может измениться.

«История отношений между чатами и криптой — это длинный, извилистый и крайне неприятный путь, потому что, чтобы что-то всем вместе построить, приходится постоянно отбиваться от мошенников и искать безопасное место», — заключает Митчелл Амадор.

23
18 комментариев

Дискор это довольно прозрачный сервис, вообще не знаю безопасных месенджеров. Новые системы стучат в 10 разведок сразу, единственный выход это замысловатое шифрование...

2
Ответить

Комментарий недоступен

1
Ответить

Спасибо, за подробный разбор проблемы. Заинтересовался статьей, потому что сам работаю в проекте, который станет децентрализованной альтернативной Дискорду с фокусом на безопасность и нацеленном на крипто-сообщества. А чем занимаетесь вы? Почему вас интересует тема крипто-сообществ?

1
Ответить

Комментарий недоступен

3
Ответить

Ты про solcial токен которого падает 40 дней подряд?

Ответить

всего-то надо было телеграму реализовать подобный функционал с мультичатами одного сообщества и ролями в них.
Тогда многим не пришлось бы переезжать из телеги в дискорд.

1
Ответить

Доказано годами: нет ничего лучше чатов в телеге

1
Ответить