Кто стоит за взломами Discord и как это происходит
Part 1
Сегодня хотелось бы обсудить недавние взломы Discord серверов крупных NFT проектов.
Думаем все слышали о новостях вроде: у фаундера Moonbirds украли 29 сов ; Взломали инстаграм и Discord BAYC в апреле (потери: 765,3 ETH и 91 NFT), Взломали Discord BAYC в июне ( потери: 32 NFT); взломан сервер Opensea в Discord в мае и т.п.
Discord был создан в 2015 году как приложение с войс чатом и минимальными задержками. Сервис сразу же стал очень популярен у геймеров. В него интегрировались инструменты из twich и Discord быстро захватил симпатию геймеров и стримеров.
В 2021 сервис облюбовали крипто энтузиасты, которые осознали что Discord лучше чем телеграм, да и на своем сервере в Discord куда проще организовать общение постоянно растущего сообщества. И вот, Discord стал основной площадкой для создания сообществ nft сферы.
В какой то момент фаундер Discord Джейсон Цитрон сказал, что вскоре они добавят возможность привязать крипто кошелек к аккаунту, но геймеры взбунтовались и обещали перестать продлевать подписки. После чего СЕО публично отказался от этой идеи. Говорит это о том, что крипто и нфт сообщества для Discord пока не основной пул пользователей.
Но есть у Discord одна проблема: безопасность. Ее попросту нет-нет шифрования, чаты хранятся как есть, а приватные чаты не такие уж и приватные.
Вторая проблема - боты, без которых невозможно представить себе крупный сервер. Они подвергаются компрометации так же как и люди создающие их. Через них получают доступ к администрированию сервером. Для нас с вами это большая проблема, ведь если геймер может потерять только лишь свои стратегии или сообщения о том как он чью-то маму в кино водил, то мы, крипто энтузиасты, теряем свои деньги.
Как же это происходит? Зачастую компрометации подвергается аккаунт администратора. Тут вариантов как до него добраться масса: можно и через лс в Discord подкинуть фишинговую ссылку , и написать письмо с предложением инвестирования или коллаборации на почту и так же взломать. Например те самые MoonBirds украли у фаундера предложив обмен не на проверенном сайте для обмена, а на подставном, где его уже ждала фишинговая ссылка. А некоторые просто игнорируют двухфакторную аутентификацию по динамическому паролю и их взламывают просто по подбору пароля. Зачастую, причина всех этих случаев в банальной невнимательности и наивности.
Возвращаясь к Discord серверам: задача злоумышленников в том, что нужно добраться до админа, а дальше дело за малым, но об этом во второй части.
Part 2
Итак, добрались нехорошие люди до мода, что дальше?
«Затыкаются» все остальные админы, или попросту удаляются с сервера.
У каждого проекта есть чат типа "annoncement", где сообщают о новостях проекта. Злоумышленник скидывает туда ссылку на дроп/минт и текстом : «скрытый минт, только для членов Discord сообщества». При этом они давят на психологию человека тем, что добавляют тригеры типа: «ограниченное время», «количество ограничено», счетчик сминченых нфт будет быстро подбираться к концу и все для того, что бы у вас не было желания подумать о своих действиях. Вы видите все это и рука так и тянется скорее нажать кнопку "минт" и подтвердить транзакцию. Но вы же так не делаете, правда?
Однажды, кстати не так давно, я увидел все что описал выше и сразу предположил что сервер взломали. Я отправился в general и другие чаты на поиск сообщений о взломе от обычных юзеров, потому что админам доверять уже было нельзя. Так вот нигде и слова не было про взлом, а прошло уже минут 5 и вряд ли никто ничего не заметил. Потом, я заметил что в чате появилось сообщение типа "hacked” но через долю секунды оно пропало. Я написал в чат тоже самое, и мое сообщение так же удалилось менее чем за секунду, а меня моментально кикнули с сервера. Видно что хакеры прогрессируют-они следят за чатами, они кикают всех кто засомневался. Раньше этого не было.
Боты могут помочь защитить Ваш сервер. Например, существует бот good knight , который позволяет постить ссылки только внесенные в список разрешенных, а если ссылка не в списке, бот затребует пароль для ее публикации, который знает только хэд-мод. Защиту осуществляют боты, но они же и средство взломов.
Одним из путей защиты так же является создание резервного аккаунта админа, о котором знает только фаундер. Он должен выглядеть как простой посетитель сервера, без ролей, но со всеми разрешениями.
Но ничто не поможет защитить сервер от невнимательности человека.
По факту, Discord сейчас не помогает защитить серверы. В данный момент сервера защищают юзеры которые создают подобных Good knight ботов.
Хакеры накапливают силы и сноровку, потому что Discord по факту не защищен, а на кону тысячи и тысячи долларов. И наше мнение что череда взломов в этом году (тем более серверов флагманской NFT коллекции и топ-1 маркетплейса NFT) это плохой звоночек. Они как бы говорят «мы накопили сил и развились до того что бы взломать сервер opensea и bayc, дважды», а Discord в это время не делает ничего по защите. Мое мнение, скоро нас ждут куда более громкие и дорогие взломы, если фаундеры сервиса не начнут работать над своей безопасностью.