返回部落格
discordmetamask釣魚社交工程
社群信任已破裂:Discord、MetaMask 與「點擊簽名」的終結
當一個經過驗證的 Discord 公告掏空了你的錢包,你還能信任誰?答案是:程式碼,而非平台。
Miguel Treviño•
重點摘要:
- 威脅: 攻擊者正在奪取經過驗證的 Discord 公告頻道的控制權,誘騙忠實用戶簽署惡意交易。
- 漏洞: 「盲簽」——用戶在緊迫感(FOMO)下匆忙批准複雜的十六進制字串——已成為錢包被掏空的主要攻擊向量。
- 模式: 社群信任被武器化;「經過驗證的來源」繞過了用戶的標準警覺。
- 防禦: Zelf 透過 意圖驗證 打破這個循環——需要透過獨立行動應用程式進行刻意的生物識別操作,防止意外的「一鍵」掏空。
這個模式已經令人沮喪地熟悉了。
- 一個流行的 NFT 項目或協議的 Discord 伺服器被入侵。
- 駭客在官方
#announcements頻道中發布「驚喜鑄造!」連結。 - 數千名忠實用戶驗證來源,點擊連結並簽署交易。
- 錢包被掏空。
正如 FlakySpecial 所強調的,這件事再次發生了,繞過了有經驗用戶的標準心理防線,因為「來源」是經過驗證的。
盲簽問題
根本原因不僅僅是 Discord 安全問題;而是 盲簽。
當你使用像 MetaMask 這樣的瀏覽器擴充錢包時,你經常會看到一個令人困惑的十六進制字串或模糊的「Set Approval For All」請求。在緊張的時刻(FOMO),用戶在沒有意識到他們正在簽署資產死刑令的情況下點擊「確認」。
摩擦是一項功能
Zelf 引入了必要的摩擦層,使你免於自己犯錯。
- 意圖驗證:Zelf 不僅僅要求一次點擊。因為它使用 ZK 人臉證明,簽名行為需要刻意的生物識別動作。你必須 看著 你的手機。
- 與瀏覽器分離:Zelf 錢包是一個獨立的行動應用程式,而非瀏覽器擴充。Discord 中的惡意連結無法像那種無縫(且危險的)方式一樣在你的 Zelf 應用程式中自動彈出交易視窗。你必須通過 WalletConnect 或 QR 碼發起連接,給你一個關鍵的暫停和思考的時刻:「這是真的嗎?」
- 智能解析:我們的目標是將
0x...翻譯成人類可讀的「你正在授予對你所有 USDT 的存取權限。」
我們無法修復 Discord。但我們可以修復你用來與它互動的工具。