Retour au Blog
discordmetamaskphishingingenierie-sociale
La Confiance Communautaire Est Brisée : Discord, MetaMask et la Fin du « Cliquer pour Signer »
Quand une annonce Discord vérifiée vide votre portefeuille, à qui pouvez-vous faire confiance ? La réponse est : au code, pas à la plateforme.
Miguel Treviño•
Résumé :
- La Menace : Des attaquants prennent le contrôle de canaux d'annonces Discord vérifiés pour piéger les utilisateurs fidèles en leur faisant signer des transactions malveillantes.
- La Vulnérabilité : La « Signature Aveugle » — où les utilisateurs approuvent des chaînes hexadécimales complexes dans l'urgence (FOMO) — est devenue un vecteur principal de vidage de portefeuille.
- Le Schéma : La confiance communautaire est instrumentalisée ; la « source vérifiée » contourne la prudence habituelle de l'utilisateur.
- La Défense : Zelf brise ce cycle avec la Vérification d'Intention — exigeant une action biométrique délibérée via son application mobile autonome, empêchant les vidages accidentels en « un clic ».
Le schéma devient désespérément familier.
- Un projet NFT populaire ou un protocole voit son serveur Discord compromis.
- Un pirate publie un lien « MINT SURPRISE ! » dans le canal officiel
#annonces. - Des milliers d'utilisateurs fidèles vérifient la source, cliquent sur le lien et signent une transaction.
- Portefeuille Vidé.
Comme mis en lumière par FlakySpecial, cela vient de se reproduire, contournant les pare-feu mentaux standards d'utilisateurs expérimentés car la « source » était vérifiée.
Le Problème de la Signature Aveugle
La cause profonde n'est pas seulement la sécurité de Discord ; c'est la Signature Aveugle.
Quand vous utilisez un portefeuille en extension navigateur comme MetaMask, vous êtes souvent confronté à une chaîne hexadécimale confuse ou à une vague demande « Définir l'Approbation Pour Tout ». Dans le feu de l'action (FOMO), les utilisateurs cliquent sur « Confirmer » sans réaliser qu'ils signent un arrêt de mort pour leurs actifs.
La Friction Est une Fonctionnalité
Zelf introduit une couche de friction nécessaire qui vous sauve de vous-même.
- Vérification d'Intention : Zelf ne demande pas qu'un simple clic. Parce qu'il utilise les ZK Face Proofs, l'acte de signer nécessite une action biométrique délibérée. Vous devez regarder votre téléphone.
- Découplé du Navigateur : Le Portefeuille Zelf est une application mobile autonome, pas une extension navigateur. Un lien malveillant dans Discord ne peut pas automatiquement ouvrir une fenêtre de transaction dans votre application Zelf de la même manière transparente (et dangereuse). Vous devez initier la connexion via WalletConnect ou un QR code, vous donnant un moment crucial pour réfléchir : « Est-ce que c'est réel ? »
- Analyse Intelligente : Notre objectif est de traduire
0x...en un langage humain : « Vous donnez accès à TOUS vos USDT. »
Nous ne pouvons pas réparer Discord. Mais nous pouvons réparer l'outil que vous utilisez pour interagir avec lui.