«​У чатов и крипты извилистый и неприятный путь»: почему Discord не самое безопасное пристанище для криптосообществ Статьи редакции

Геймерское приложение давно «обжили» криптопроекты. Но аккаунты и сервера часто взламывают, а приватные чаты не такие уж приватные. Как работают в Discord хакеры, чем оправдывается компания и каких ботов установить, чтобы обезопасить сервер, — в кратком пересказе Vice.

За семь лет работы «геймерский» мессенджер Discord превратился в пристанище для криптопроектов со всего мира, пишет Vice. Так говорило и отраслевое издание Finextra, и платформа CoinDesk. По мнению последней, Discord — отличный способ найти единомышленников и сторонников любимых блокчейнов и монет.

В мае 2022 года изучить сервис взялся основатель блокчейн-проекта Origin Protocol Джош Фрейзер. Он хотел настроить на сервере автоскрипт, который бы фиксировал упоминание в чатах заданных Фрейзером слов и предупреждал бы его об этом.

К приватным каналам Фрейзер получить доступ не смог, но зато видел часть данных по ним: названия, описания, полный список участников. Этого уже достаточно, чтобы прознать о потенциальном листинге валюты на крупной бирже и пустить об этом слухи, провоцируя рост стоимости монеты. Или предположить, у кого есть право подписывать транзакции от лица компании.

Представители традиционного финансового рынка обычно общаются согласно протоколам. У пользователей терминалов Bloomberg, например, есть внутренний мессенджер Instant Bloomberg. Каждый его пользователь сперва подтверждает личность, а потом входит в систему по отпечатку пальца.

Такой контроль, конечно, противоречит идеологии децентрализованных финансов (DeFi), но Discord, в свою очередь, не гарантирует криптоэнтузиастам должного уровня безопасности. В чатах нет шифрования, история переписки в каналах доступна всем, кто в них вступает, данные о частных чатах, как выяснил Фрейзер, тоже можно достать.

Cам Discord собирался разработать функции специально для криптосообществ и прекрасно знает об уязвимости, на которую указал им Фрейзер. Однако геймерам, по словам издания, идея не понравилась, да и саму крипту как таковую многие из них порицают, пишет издание.

Скорее всего, приложение привлекает большинство пользователей простым интерфейсом, многофункциональностью онлайн-сообществ и возможностью сохранять анонимность. Но в криптовалютном мире много мошенников, к чему Discord изначально не был готов, пишет Vice.

Злоумышленники распространяют фишинговые ссылки, а ещё взламывают отдельные аккаунты и целые сервера. В апреле 2022 года, например, хакеры атаковали NFT-сообщество Bored Ape Yacht Club. А в мае попытались получить доступ к кошелькам участников группы NFT-маркетплейса OpenSea.

В этом случае криптоэнтаузиасты верили мошенническим сообщениям, потому что получали их от официальных ботов. Но система никак не предупреждает пользователя даже о потенциально опасных личных сообщениях, если только он не запретил входящие от людей не из списка контактов.

«Предупредительная плашка решение хоть и примитивное, но здорово бы всем помогло», — считает соучредитель аудиторской фирмы Zellic Стивен Тонг.

Специалист по кибербезопасности Джесси Ирвин заметила, что оборот набирает ещё одна схема: мошенник платит за подписку Discord Nitro и использует благодаря ей разные псевдонимы на разных серверах. С одним таким хакером столкнулась и сама Ирвин. Он выдал себя за гендиректора фирмы, в которой работала девушка, указав его имя и номер аккаунта в Discord.

«Наша служба безопасности обратилась в техподдержку Discord. Та спросила, почему мы сами на него не пожаловались, но сделать это можно, только если у тебя есть личное сообщение от злоумышленника», — объясняет специалист.

Чем больше такой свободы у хакеров в Discord, тем организованнее они становятся, говорит гендиректор DeFi-проекта Immunefi Митчелл Амадор. По его словам, приложение строили без какой-либо мысли о безопасности данных или полной конфиденциальности.

С тем же согласен и Стивен Тонг. По его словам, вся проблема в том, что приложение создавали прежде всего для геймеров, у которых совсем другие потребности и заботы. Да, в Discord крайне трудно вычислить чей-то IP, пользоваться сервисом можно под псевдонимом. Но если у геймеров можно украсть разве что игровые тактики, то у криптоэнтузиастов — деньги.

Discord пытался показать, что слышит запросы криптосообщества, но пока что это ни к чему не привело. Например, в ноябре 2021 года гендиректор Discord Джейсон Ситрон рассказал, что в будущем пользователи смогут подключать к приложению криптокошельки.

Однако «основная» аудитория Discord была категорически против. Геймеры грозились отменить свои платные подписки и призывали других не оформлять даже бесплатный пробный период. Поэтому руководству пришлось публично отказаться от этой идеи.

В Discord также говорили, что серьёзно относятся к вопросу безопасности. Компания продолжает инвестировать в защитные инструменты, модерирует спам, предупреждает об опасных ссылках. А ещё тестирует алгоритмы, которые выявляют подозрительное поведение на серверах и переводят их в «безопасный режим», заставляя пользователей вводить «капчу».

Но проблема не только в фишинговых ссылках, говорит Джесси Ирвин. В приложении распространяют также вредоносное ПО. А ещё пользуются методами социальной инженерии — почему и пытаются присылать мошеннический контент от лица представителей проектов или их официальных ботов.

Достойных альтернатив Discord пока что нет, пишет Vice. Некоторые криптопроекты пользуются Telegram, но функций для сообществ там меньше. Именно поэтому они вынуждены приноровиться к Discord, и есть разработчики, которые готовы им в этом помочь.

Один из таких создал бесплатный инструмент Good Knight — это бот, который, помимо прочего, контролирует размещение ссылок на сервере. Если предложенного пользователем сайта нет в одобренном администраторами списке, система попросит его ввести пароль.

В теории хакер может взломать аккаунт администратора и отключить бота. Чтобы этого избежать и в принципе обезопаситься от взломов, создатель предлагает администраторам создавать сразу два аккаунта:

• «Холодный» — со всеми разрешениями. С этой страницы администратор должен появляться в сети только для решения управленческих задач: например, чтобы добавить бота, создать или удалить канал.
• «Горячий» — без разрешений. Его администратор должен использовать для повседневного общения.

Так у пользователей на виду будет «горячий» аккаунт руководителя страницы. Если хакер его взломает, отключить бота он не сможет.

На рынке также есть бот Collab.land — причём не только для Discord, но и для Telegram. Благодаря интеграции с кошельком Metamask он будет пускать в сообщество только тех пользователей, у которых на счету есть указанный администраторами криптоактив. Если они его продадут, система автоматически исключит их из чатов.

Сперва криптоэнтузиасты сидели на форуме Bitcoin Talk, потом пытались строить группы в Slack и Telegram и даже осваивались в Clubhouse. Теперь приоритетная платформа для создания криптосообществ — это Discord, пишет издание. Однако всё ещё может измениться.

«История отношений между чатами и криптой — это длинный, извилистый и крайне неприятный путь, потому что, чтобы что-то всем вместе построить, приходится постоянно отбиваться от мошенников и искать безопасное место», — заключает Митчелл Амадор.

#discord #криптовалюта