ブログに戻る
discordmetamaskphishingsocial-engineering
コミュニティの信頼が崩壊:Discord、MetaMask、そして「クリックして署名」の終焉
認証済みのDiscordアナウンスがウォレットを空にする時、誰を信頼できるのか?答えは:プラットフォームではなくコードです。
Miguel Treviño•
要約:
- 脅威: 攻撃者が認証済みDiscordアナウンスチャンネルを掌握し、忠実なユーザーを騙して悪意のあるトランザクションに署名させています。
- 脆弱性: 「ブラインド署名」—ユーザーがFOMOの中で複雑な16進文字列を急いで承認すること—がウォレット流出の主要な攻撃ベクトルになっています。
- パターン: コミュニティの信頼が武器化され、「認証済みソース」が通常のユーザーの警戒心をバイパスします。
- 防御: Zelfは意図検証によりこのサイクルを断ちます—スタンドアロンモバイルアプリによる意図的な生体認証アクションを要求し、偶発的な「ワンクリック」流出を防ぎます。
パターンはうんざりするほど馴染み深いものになっています。
- 人気のあるNFTプロジェクトやプロトコルのDiscordサーバーが侵害される。
- ハッカーが公式
#announcementsチャンネルに「サプライズミント!」リンクを投稿する。 - 何千人もの忠実なユーザーがソースを確認し、リンクをクリックし、トランザクションに署名する。
- ウォレット流出。
FlakySpecialが強調したように、これがまた起こりました。「ソース」が認証済みだったため、経験豊富なユーザーの標準的なメンタルファイアウォールをバイパスしたのです。
ブラインド署名の問題
根本原因はDiscordのセキュリティだけではなく、ブラインド署名です。
MetaMaskのようなブラウザ拡張ウォレットを使用すると、混乱する16進文字列や漠然とした「Set Approval For All」リクエストが表示されることがよくあります。その瞬間(FOMO)の中で、ユーザーは自分の資産に対する死刑令状に署名していることに気づかずに「確認」をクリックします。
摩擦は機能
Zelfは自分自身から守るための必要な摩擦のレイヤーを導入します。
- 意図検証:Zelfは単にクリックを求めません。ZK顔認証を使用するため、署名行為には意図的な生体認証アクションが必要です。スマートフォンを見る必要があります。
- ブラウザから分離:Zelf Walletはスタンドアロンモバイルアプリであり、ブラウザ拡張機能ではありません。Discordの悪意のあるリンクが、同じシームレスな(そして危険な)方法でZelfアプリにトランザクションウィンドウを自動的にポップアップさせることはできません。WalletConnectまたはQRコードを通じて接続を開始する必要があり、一時停止して考える重要な瞬間を提供します:「これは本物か?」
- スマートパーシング:
0x...を人間が読める「あなたはすべてのUSDTへのアクセスを許可しようとしています」に変換することが目標です。
Discordを修正することはできません。しかし、Discordとやり取りするために使用するツールを修正することはできます。