Discord, một ứng dụng trò chuyện công khai được thiết kế cho các game thủ đã trở nên phổ biến đối với các chủ sở hữu tiền điện tử trên toàn thế giới. Những kẻ tấn công đang nhắm mục tiêu vào các máy chủ Discord của một số dự án mã thông báo không thể ăn được (NFT) phổ biến.

Josh Fraser, người sáng lập giao thức Origin đã chia sẻ một chủ đề trên Twitter đầu tháng này, tiết lộ vấn đề và cảnh báo người dùng về tính toàn vẹn của các kênh riêng tư Discord. Fraser nói thêm rằng vấn đề đã nhanh chóng được đóng lại là "vấn đề trùng lặp" khi được tiết lộ một cách có trách nhiệm cho nhóm Discord.

Theo Fraser, Discord API làm rò rỉ “tên, mô tả, danh sách thành viên và dữ liệu hoạt động cho mọi kênh riêng tư trên mọi máy chủ”. Anh ấy giải thích rằng anh ấy đã vấp phải sự cố trong khi thiết lập một tập lệnh tự động để thông báo cho anh ấy bất cứ lúc nào người dùng nhập một từ khóa nhất định.

Một kêu riu ríu đã được chia sẻ bởi PeckShield, một công ty an ninh mạng blockchain, cảnh báo người dùng về máy chủ NFT Discord của Memeland, RTFKT, PROOF / Moonbirds và công ty cơ sở hạ tầng Cyberconnect bị xâm phạm.

Kết nối mạng và Kỷ niệm đã xác nhận vụ hack trên nguồn cấp dữ liệu Twitter của họ và cảnh báo người dùng tránh nhấp vào bất kỳ liên kết nào trên Discord. Cyberconnect cảnh báo rằng dự án sẽ không bao giờ yêu cầu khóa cá nhân của họ. Tương tự, Memeland cảnh báo khách hàng về “liên kết giả mạo” trong tin nhắn.

Một thành viên trong nhóm của Memeland lưu ý, “một bot bất hòa (mee6) dường như đã bị xâm phạm trên các máy chủ cấu hình cao khác nhau”. Bot mee6 được chủ sở hữu máy chủ sử dụng để tự động hóa các thông báo chào mừng và thông báo về các quy tắc, sự kiện và chủ đề của máy chủ.

Với rất nhiều dự án tiền điện tử nổi tiếng sử dụng Discord, việc rò rỉ thông tin này có thể tiết lộ “quan hệ đối tác chưa được công bố, các đợt ra mắt sản phẩm sắp tới, danh sách trao đổi và phối hợp nhiều người ký kết,” như Fraser báo cáo.

Tác động tàn phá

Theo Motherboard, bot máy chủ Discord bị xâm nhập có thể gây ra kết quả tàn khốc, vì kẻ thù có thể đăng liên kết độc hại giả dạng bot tự động và dụ người dùng mở nó, một cú nhấp chuột sai có thể gây ra thiệt hại không thể phục hồi đối với thu nhập cá nhân và máy chủ Discord bị chiếm đoạt có thể gây ra mối đe dọa cho một lượng lớn khán giả.

“Đó sẽ là một miếng mồi đáng tin cậy mà tôi chắc chắn rằng hàng trăm hoặc hàng nghìn người sẽ rơi vào tình trạng đó. […] Những bot đó là một trách nhiệm rất lớn khi nói đến bảo mật, ”Stephen Tong, đồng sáng lập công ty bảo mật chuỗi khối Zellic giải thích.

Chuỗi các cuộc tấn công chống lại kênh bất hòa NFT tiếp tục trong những tháng gần đây. Câu lạc bộ du thuyền Bored Ape, Nyoki, Shamanz, Doodles và Kaiju Kingz, có tài khoản Discord của họ bị vi phạm và bị xâm phạm vào tháng XNUMXvà tài khoản OpenSea là bị tấn công vào tháng XNUMX.

Roger Grimes tại Knowbe4 cho biết, “Bài học quan trọng ở đây là bất kỳ ai trong chuỗi tấn công tiềm năng của tiền điện tử hoặc NFTs đều phải được bảo mật như thể họ là một cơ quan chính phủ bảo mật cao”.

Hơn nữa, Grimes đề xuất rằng các dịch vụ tiền điện tử nên giới thiệu các cấu hình bảo mật cao cho tất cả phần mềm và thiết bị. Bắt đầu xác thực đa yếu tố (MFA) để đăng nhập, vá tất cả phần mềm dễ bị tấn công, truyền đạt giáo dục và “chạy các vấn đề kiểm soát ứng dụng được hỗ trợ bởi chip siêu giám sát an toàn”.