这段时间以来，SAFEIS频繁接到很多用户关于Discord安全问题的反馈，Discord的安全问题不论是对于Discord官方，还是普通用户、入驻的项目方，都产生了极为不利的困扰和惨痛的损失。

鉴于此，SAFEIS用心编写了这篇《Discord防骗指南》。

Discord为何时常被攻击

谈到国外社交软件的知名产品，你第一时间想到的是哪款？Twitter？Telegram？TikTok？还是Snapchat？这几款固然是实至名归，但人们往往忽视了一款已然崛起的社交巨头——Discord！

Discord起初只是一款垂直于游戏社交的社交产品，尔后拓展到多个领域包括加密社区，迅速风靡全球，在北美乃至世界很多地区，Discord成为十分受欢迎且用户极为广泛的社交应用。

鉴于，Discord业务层面的快速发展，其当前的估值已经超过150亿美元，多轮融资总额接近10亿美元，2021年微软曾以120亿美元的报价向Discord发出收购意愿，但被后者婉言谢绝。可见，Discord拥有怎样的底气、实力和发展前景。

正因为Discord附带的商业价值极为可观，且Discord过于开放的权限机制，安全问题频发，成为黑客时常攻击的目标，OpenSea、Project Galaxy、BAYC（无聊猿)、游戏公会YGG等热门的Discord都遭遇过攻击。

Discord被攻击事件诈骗套路

SAFEIS梳理这些Discord被攻击事件的脉络，发现黑客的骗局套路大体一致，下文将进行细致的梳理，以此让大家明辨骗局，避免遭受资产损失，提高防骗能力。

黑客攻击第一步：

黑客在攻击之前，会预先参照官方网站做一个非常相似，真假难辨的伪网站，在网站的首页的突出位置，大致会展示这些内容：为了感谢早期支持者，现在可以免费mint（铸造）一个很有价值的NFT。

黑客攻击第二步：

黑客主要通过引诱Discord项目官方管理员点击一些载有病毒的链接，获取相关Access Token（登入令牌），进而获取目标Discord服务器的管理权限。值得一提的是，即使之前开启了Authenticator的2FA（二步确认），也无法防止黑客此类攻击。

黑客攻击第三步：

黑客在取得管理权限之后，通常会把所有频道禁言，踢走该服务器所有管理者，然后将自己的Discord Bot（服务器机器人） 加入服务器，并将其权限设置为最高。

之后，便会通过Discord Bot在公告频道发布诈骗信息，诱导该服务器用户点击伪官方网站链接。

黑客攻击第四步：

用户进入伪官方网站之后，便会被提示链接钱包，一旦连接了钱包，黑客就会通过API查询到该钱包内所有值钱的NFT和其它虚拟货币资产。

在用户被相关诈骗页面信息诱导mint后，钱包就会弹出一笔看似是正常合约交互的信息框，但其实这是一笔钱包转账授权，授权数量就是该钱包持有的有价值的NFT的数量。

一旦进行了合约交互确认，这些NFT就会转入黑客的钱包地址。

黑客攻击第五步：

当NFT到达黑客的钱包地址之后，黑客会立马挂到OpenSea上进行低价出售，并最终通过一些隐私项目等手段达到被盗资金隐匿、躲避链上追溯的目的。

被黑Discord服务器异常特征

1、在伪官方网站链接钱包时，不论钱包当前选择的是哪个网络，网站都可以成功连接钱包，且不会提示正常网络切换；

2、黑客攻击的时机往往选择项目发展的关键时间点，比如NFT白名单公布、NFT开售等；

3、Discord所有频道罕见的全部处于禁言状态。

防骗策略

1、一定要认真核对项目官方的相关信息，比如项目官方网站网址、公告消息等，并且在官方其它多个渠道多维度进行验证，绝对不可随意点击未经认证的链接，更不要随便进行钱包交互授权等操作；

2、建议大家养成一个好习惯，对已经多方验证过的官方认证Discord bot设置备注，当黑客利用假认证的bot进行发布诈骗信息进行攻击的时候，大家对于这些没有备注过的bot发布的消息就要存疑，进而去验证公告信息真假。

目前常用的bot包括：Wick、Captcha.bot、MEE6等

3、如果钱包不慎连接了有风险的网站，可以在相关网络的区块链浏览器中解除授权，具体位置见下图。

需要注意的是，先要注册相关区块浏览器账号并登录，否则，未登录状态下，无法完成钱包授权管理的相关操作。