Volver al Blog
discordmetamaskphishingingenieria-social
La Confianza Comunitaria Está Rota: Discord, MetaMask y el Fin de "Clic para Firmar"
Cuando un anuncio verificado de Discord vacía tu wallet, ¿en quién puedes confiar? La respuesta es: en el código, no en la plataforma.
Miguel Treviño•
Resumen:
- La Amenaza: Los atacantes están tomando control de canales de anuncios verificados de Discord para engañar a usuarios leales a firmar transacciones maliciosas.
- La Vulnerabilidad: La "Firma Ciega"—donde los usuarios aprueban cadenas hexadecimales complejas por urgencia (FOMO)—se ha convertido en un vector principal para vaciar wallets.
- El Patrón: La confianza comunitaria se convierte en arma; la "fuente verificada" evade la cautela estándar del usuario.
- La Defensa: Zelf rompe este ciclo con Verificación de Intención—requiriendo una acción biométrica deliberada a través de su app móvil independiente, previniendo vaciados accidentales de "un clic".
El patrón se está volviendo deprimentemente familiar.
- Un proyecto NFT popular o protocolo tiene su servidor de Discord comprometido.
- Un hacker publica un enlace de "¡MINT SORPRESA!" en el canal oficial de
#anuncios. - Miles de usuarios leales verifican la fuente, hacen clic en el enlace y firman una transacción.
- Wallet Vaciada.
Como destacó FlakySpecial, esto acaba de suceder de nuevo, evadiendo los firewalls mentales estándar de usuarios experimentados porque la "fuente" era verificada.
El Problema de la Firma Ciega
La causa raíz no es solo la seguridad de Discord; es la Firma Ciega.
Cuando usas una wallet de extensión de navegador como MetaMask, a menudo se te presenta una cadena hexadecimal confusa o una solicitud vaga de "Set Approval For All". En el calor del momento (FOMO), los usuarios hacen clic en "Confirmar" sin darse cuenta de que están firmando una sentencia de muerte para sus activos.
La Fricción es una Característica
Zelf introduce una capa necesaria de fricción que te salva de ti mismo.
- Verificación de Intención: Zelf no solo pide un clic. Porque usa ZK Face Proofs, el acto de firmar requiere una acción biométrica deliberada. Tienes que mirar tu teléfono.
- Desacoplado del Navegador: Zelf Wallet es una app móvil independiente, no una extensión de navegador. Un enlace malicioso en Discord no puede automáticamente abrir una ventana de transacción en tu app de Zelf de la misma manera fluida (y peligrosa). Debes iniciar la conexión mediante WalletConnect o un código QR, dándote un momento crucial para pausar y pensar: "¿Es esto real?"
- Análisis Inteligente: Nuestro objetivo es traducir
0x...en un mensaje legible "Estás dando acceso a TODO tu USDT."
No podemos arreglar Discord. Pero podemos arreglar la herramienta que usas para interactuar con él.