返回博客
DiscordMetaMask钓鱼社会工程
社区信任已被打破:Discord、MetaMask 与"点击签名"时代的终结
当一个经过验证的 Discord 公告能清空你的钱包时,你还能信任谁?答案是:信任代码,而非平台。
Miguel Treviño•
要点速览:
- **威胁:**攻击者正在夺取经过验证的 Discord 公告频道的控制权,诱骗忠实用户签署恶意交易。
- 漏洞:"盲签"——用户在急切(FOMO)中批准复杂的十六进制字符串——已成为钱包被盗的主要攻击方式。
- **模式:**社区信任被武器化;"经过验证的来源"绕过了用户的标准警觉性。
- 防御:Zelf 通过意图验证打破这一循环——通过其独立的移动应用要求进行有意识的生物识别操作,防止意外的"一键"盗取。
这种模式正变得令人沮丧地熟悉。
- 一个热门的 NFT 项目或协议的 Discord 服务器被入侵。
- 黑客在官方
#announcements频道发布"限时铸造!"链接。 - 数千名忠实用户验证来源,点击链接,并签署交易。
- 钱包被清空。
正如 FlakySpecial 所强调的,这种情况刚刚又发生了一次,绕过了经验丰富用户的标准心理防线,因为"来源"是经过验证的。
盲签问题
根本原因不仅仅是 Discord 的安全性;而是盲签。
当你使用像 MetaMask 这样的浏览器扩展钱包时,你经常会看到一个令人困惑的十六进制字符串或含糊的"Set Approval For All"请求。在情急之下(FOMO),用户点击"确认"而没有意识到他们正在为自己的资产签署死刑令。
摩擦是一种特性
Zelf 引入了一层必要的摩擦,保护你免于自我伤害。
- 意图验证:Zelf 不仅仅要求一次点击。因为它使用ZK 面部证明,签名行为需要有意识的生物识别操作。你必须_看着_你的手机。
- 与浏览器解耦:Zelf Wallet 是一个独立的移动应用,不是浏览器扩展。Discord 中的恶意链接无法像以同样无缝(且危险的)方式在你的 Zelf 应用中自动弹出交易窗口。你必须通过 WalletConnect 或二维码发起连接,这给了你一个关键的暂停和思考时刻:"这是真的吗?"
- 智能解析:我们的目标是将
0x...翻译为人类可读的"你正在授权访问你所有的 USDT。"
我们无法修复 Discord。但我们可以修复你与之交互的工具。