0
0
No início deste mês, Josh Fraser, o fundador da plataforma Origin, baseada em Ethereum, estava bisbilhotando o Discord, o aplicativo de bate-papo para gamers que se tornou a plataforma de lançamento de projetos cripto em todo o mundo. O que ele encontrou o assustou.
Fraser queria ver se ele poderia configurar um script automático que o alertasse toda vez que os usuários postam certas palavras-chave em seu servidor. Ele viu vários canais privados que não podia acessar, mas ainda era capaz de ver muitas informações sobre eles. Apesar dos canais serem supostamente privados, ele foi capaz de ver seus nomes, sua descrição, e a lista completa de membros do canal.
Como o Discord é usado por muitos projetos cripto de alto perfil (e obscuros), essas informações podem ser usadas para descobrir que um determinado projeto está prestes a lançar um novo token, ou está prestes a ser listado na Coinbase (imagine um canal privado chamado “Coinbase”), que pode ter impacto significativo no preço de uma moeda. Os nomes e listas de usuários de canais privados podem até expor pessoas responsáveis pela execução de transações financeiras por meio de carteiras multi-assinatura, de acordo com Fraser.
“Isso poderia muito facilmente dox alguém que não pretendia ser doxed”, disse Fraser à Motherboard em uma ligação.
“Esses bots [Discord] são uma grande responsabilidade quando se trata de segurança.”
A pesquisa de Fraser expõe uma verdade mais ampla sobre a criptomoeda e o novo Velho Oeste das finanças. Enquanto as comunicações financeiras tradicionais ocorrem sobre protocolos como o altamente seguro (e caro) Bloomberg Terminal ou SWIFT, que catapultou para a consciência pública quando a Rússia foi banida dele, o serviço de mensagens mais importante no mundo da cripto é o Discord, que é um poderoso aplicativo de bate-papo, mas não foi projetado do zero com a segurança em mente.
Os chats discord não são criptografados, os históricos de bate-papo público podem estar disponíveis para qualquer um que se junte a um canal, golpes de personificação são comuns, e o problema de segurança que Fraser encontrou continua sendo um problema. Tentativas da Discord de projetar recursos específicos para projetos cripto foram recebidas com ampla reação de sua principal base de usuários de jogadores, muitos dos quais acham a criptomoeda repreensível.
No mundo financeiro, várias empresas usam a Instant Bloomberg, um aplicativo integrado embutida para trabalhar com o terminal Bloomberg que funciona na infraestrutura bloomberg e cujas identidades de membros são verificadas pela empresa. E o terminal requer a impressão digital do usuário para fazer login. Mas o aplicativo é caro (supostamente cerca de US $ 24.000 por ano para uma única assinatura terminal), e é realmente projetado para pessoas em finanças, que têm diferentes necessidades e restrições em comparação com DeFi e cripto. Na prática, isso significa que o aplicativo é totalmente vigiado para que ele esteja em conformidade com as regulamentações financeiras.
Há também a Symphony, uma concorrente instantânea da Bloomberg. Mas também é especificamente construído para empresas financeiras, especialmente com o cumprimento das regulamentações existentes em mente, que não se aplicam à criptografia.
Depois de descobrir que canais privados vazaram informações potencialmente sensíveis, Fraser alertou Discord, mas a empresa disse a ele que este é um problema conhecido que não pode ser corrigido por enquanto. Então ele escreveu uma thread no Twitter explicando o que havia descoberto na tentativa de alertar a comunidade. Sua linha rapidamente se tornou viral, sugerindo que muitas pessoas em cripto não tinham ideia de canais privados vazaram informações tão confidenciais.
Discord foi lançado em 2015 e foi criado por Jason Citron (CEO) e Stanislav Vishnevskiy (CTO), dois desenvolvedores que haviam lançado aplicativos sociais para jogos antes de tentar em desenvolvimento de jogos sob a bandeira da Hammer & Chisel Inc. Isso resultou em um jogo free-to-play para tablets chamado Fates Forever que não conseguiu se tornar comercialmente bem sucedido e fechou pouco depois. A partir daí, Hammer & Chisel votou para desenvolver o Discord como um hub para os jogadores falarem e coordenarem táticas no jogo com foco na simpatia do usuário, eventualmente tornando-se Discord Inc.
Eventualmente, o aplicativo — talvez por causa de sua interface do usuário e recursos da comunidade, facilidade de criar identidades pseudônimos e alguma polinização cruzada entre comunidades online — consolidou-se como um hub para a maioria dos projetos cripto. A maioria das coleções de NFT, incluindo o Bored Ape Yacht Club, a chamam de sua casa e têm milhares ou dezenas de milhares de membros em seus servidores, e daOs (Organizações Autônomas Descentralizadas) também proliferaram.
Também se tornou um hotbed para golpistas que visam uma indústria que o aplicativo nunca foi projetado para suportar.
Os hacks cripto podem ser executados de forma devastadora rapidamente (um link errado é tudo o que é preciso para roubar irreversivelmente as participações de alguém), e assim sequestrar um servidor Discord é uma maneira eficiente de atingir um grande número de pessoas ao mesmo tempo. Só nos últimos meses, os hackers assumiram o controle dos servidores oficiais do Discord da popular coleção NFT Bored Ape Yacht Club, a plataforma de negociação da NFT OpenSea, e vários outros.
Nesses casos, uma vez que um hacker tinha controle sobre os servidores, os golpistas assumiram o controle dos bots do administrador, que são confiáveis pela comunidade. Eles então começaram a postar anúncios falsos desses bots, enganando as vítimas a desistir de sua criptomoeda ou NFTs.
“Se esse bot fosse comprometido, o back-end que controla o bot foi comprometido, isso seria muito desagradável”, disse Stephen Tong, co-fundador da empresa de segurança blockchain Zellic, em uma ligação. “Esses bots são uma grande responsabilidade quando se trata de segurança.”
Você tem informações sobre grupos de hackers que visam servidores Discord? Ou você conhece outros web3 e hacks de criptomoedas? Adoraríamos ouvir de você. Você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal em +1 917 257 1382, Wickr/Telegram/Wire @lorenzofb ou e-mail lorenzofb@vice.com
Praticamente todos os servidores Discord do projeto cripto estão cheios de contas falsas enviando mensagens privadas com links de phishing para todos no servidor. Se você não definir sua conta discord para apenas aceitar mensagens privadas de seus contatos, não há nenhum aviso que apareça para dizer que a mensagem vem de alguém que você não conhece e pode ser perigoso, um aviso que faria uma enorme diferença e seria uma solução fácil, de acordo com Tong. A Motherboard se juntou a um punhado de servidores cripto ao longo dos anos e é regularmente submetida a dezenas de mensagens privadas de servidores esboçados ou contendo links de phishing.
Golpes de discórdia geralmente envolvem engenharia social, além de explorar os recursos do aplicativo. No caso do hack que tinha como alvo o servidor Bored Ape Yacht Club Discord, os golpistas assumiram contas administrativas e postaram um link para uma falsa queda de NFT do YouTube, o que enganou investidores ansiosos na esperança de entrar no início de uma nova coleção para desistir do controle de suas carteiras.
Os hackers que visam canais discord e usuários dentro deles estão se tornando muito bem organizados, o que é algo que o Discord não está pronto, de acordo com Mitchell Amador, o CEO da empresa de segurança blockchain Immunefi.
“[Discórdia] não é construída com a ideia de consagrar comunicações seguras, não é construída com a ideia de privacidade completa em mente. Ele não é construído com a ideia de atacantes de nível quase [Ameaça Persistente Avançada]. Alguns desses grupos de golpes devem ter dezenas ou centenas de funcionários neles”, disse Amador à Motherboard em uma ligação. “São corporações efetivamente profissionais e dedicadas a alcançar esses resultados. E eles estão apenas rasgando discord. Ele nunca foi construído para proteger contra um atacante tão dedicado que está mirando uma vasta gama de contas.”
Jessy Irwin, uma praticante de cibersegurança que trabalha para uma empresa de blockchain, viu recentemente um novo tipo de ataque. Se um hacker paga pelo Discord Nitro, um nível mais alto do serviço do Discord, ele poderá usar apelidos diferentes para diferentes servidores. Irwin disse à Motherboard que abusando desse recurso, alguém se passou pelo CEO da empresa, usando seu nome e número da conta.
“Quando nossa equipe de segurança entrou em contato com o suporte do Discord, eles perguntaram por que não o reportamos — e descobrimos que você tem que ter um DM do atacante para reportá-lo à sua equipe global de confiança e segurança”, disse Irwin à Motherboard em um bate-papo online. “Portanto, por uma taxa nominal, qualquer pessoa pode fazer um ataque de representação renomeando sua conta de uma maneira quase indistinguível de uma conta legítima.”
Em última análise, o problema é que o Discord não foi projetado como uma plataforma de comunicação para projetos cripto ou DeFi, disse Tong.
“Discórdia é construída em torno de jogadores, esse é o público-alvo original. E toda essa comunidade tem muitos traumas nos velhos tempos do Skype. Quando todos usavam o Skype, era muito fácil extrair o endereço IP de alguém do seu Skype”, disse ele. “E por causa disso, o Discord é muito cuidadoso para tornar o mais difícil possível extrair o endereço IP de alguém apenas falando sobre Discórdia. […] Se você é uma baleia com um milhão de dólares, você não quer estar transmitindo para o mundo: “Ei, eu sou uma pessoa com um milhão de dólares na minha carteira de criptomoedas.” Isso é meio perigoso.
“[Discórd] nunca foi construída para proteger contra um atacante tão dedicado que está mirando uma vasta gama de contas.”
O design da Discord para gamers, uma grande comunidade de pessoas tipicamente pseudônimos que não são necessariamente amigos próximos ou colegas, torna-o popular no mundo da cripto e deFi, que também valorizam a pseudônimo e a falta de confiança. No entanto, esses mesmos fatores facilitam a mistura de golpistas.
“[Discord] foi projetado para jogadores, então grandes grupos de pessoas que não se conhecem e não confiam uns nos outros. E esse é realmente um modelo muito melhor para as comunidades cripto, que são grandes grupos de pessoas que não se conhecem e realmente não têm nenhuma boa razão para confiar umas nas outras”, disse Fraser.
Ainda assim, há muitas melhorias que o Discord poderia fazer para apaziguar o mundo cripto, onde muito mais está em risco do que táticas para jogos online. “As preocupações de segurança para os jogadores são muito diferentes do mundo das altas apostas das criptomoedas. E, embora a Discord não tenha feito nada para impedir que as comunidades cripto entrem e usem seu produto, elas também não nos receberam muito e foram muito acomodadas para a criptografia”, disse Fraser.
Quando o Discord tentou abordar esta grande seção de sua base de usuários no passado, ela não foi bem. Em novembro do ano passado, o CEO da Discord, Jason Citron, brincou com um recurso próximo onde os usuários poderiam conectar suas carteiras cripto em um tweet. A reação dos usuários do Discord foi tão negativa que a Citron teve que recuar e disse que não há planos de integrar carteiras Ethereum na plataforma.
Um porta-voz da Discord disse que a empresa “leva muito a sério a segurança de todos os usuários e comunidades, incluindo ataques de engenharia social como os que você compartilhou. Embora existam controles claros no local, estamos sempre trabalhando para dificultar que os ataques aconteçam e continuemos investindo em educação e ferramentas para ajudar a proteger nossos usuários.”ANÚNCIO
O porta-voz apontou para os termos de serviço da plataforma, que proíbem atividades fraudulentas, ilegais e prejudiciais, e disse que a equipe de confiança e segurança muitas vezes toma medidas proibindo spammers e removendo mensagens de spam. Quando isso acontece, os usuários recebem um aviso quando recebem uma mensagem do spammer.
Além disso, o Discord está testando um sistema que monitora servidores para comportamentos inautênticos e pode colocá-los em “modo de segurança” que requer captchas para participar do servidor. A empresa também tem um sistema para remover links maliciosos e alertar os usuários se eles abrirem esse tipo de links, de acordo com o porta-voz.
A empresa também publicou duas postagens no blog com conselhos sobre como os usuários e os administradores de servidores podem se proteger de golpes e que tipo de golpes os usuários devem estar cientes.
Canais de discórdia sendo inundados com links de phishing por hackers não é o único perigo na plataforma. De acordo com Irwin, discórdia até se tornou “um hotbed para distribuição de malware”.
Várias empresas de segurança cibernética publicaram relatórios detalhando campanhas de malware realizadas no Discord, embora nem sempre tenham como alvo usuários de criptografia. Irwin disse que é difícil realmente entender o tamanho de um problema que o malware está no Discord porque “muito do comportamento malicioso não acontece em aberto em cada servidor, os atores podem saltar de servidor para servidor, é mais difícil obter visibilidade em campanhas a menos que você tenha criado várias contas de usuário honeypot em seu servidor e você monitorá-las cuidadosamente.”ANÚNCIO
Por enquanto, não há alternativas para Discórdia. Alguns projetos cripto usam o Telegram, mas o aplicativo não oferece todos os recursos da comunidade que o Discord faz. Projetos e empresas cripto têm que fazê-lo funcionar com a Discord. E existem algumas ferramentas focadas em criptografia que podem ajudar a tornar os servidores mais seguros, que surgiram na esteira da série aparentemente interminável de hacks.
Existe uma ferramenta gratuita chamada Good Knight, que promete ser “um bot de segurança Discord inédito que usa tecnologia inovadora de proteção por senha para evitar ações maliciosas realizadas por hackers”. Na prática, se os administradores do servidor Discord usarem esse bot, eles podem bloquear qualquer pessoa — incluindo hackers — de postar links para o servidor que não estão incluídos no que efetivamente é uma lista de permissões. Quando os administradores configuram o Good Knight, eles têm a opção de dar-lhe mais permissões do que os administradores, o que impede que uma conta de administração hackeada desabilite o bot Good Knight. O bot também pode forçar os administradores a usar uma senha quando eles querem usar comandos para o servidor, de acordo com Kyle Higdon, o desenvolvedor da ferramenta.
O desenvolvedor, que atende por Captain_Plantain no Twitter, disse à Motherboard que sugere que os administradores configurem uma conta de administração “fria” e uma conta de administração “quente”. A diferença entre os dois é que o “frio” é usado para gerenciar o servidor, como adicionar ou remover bots e canais, e ele não deve estar online com frequência, reduzindo o risco de compromisso. O “quente” não deve ter permissões de administrador para que, mesmo que seja comprometido, o hacker não pode expulsar o robô Good Knight.
Outra ferramenta é chamada Collab.land, e permite que os administradores de servidores Discord permitam apenas que usuários que possam provar que possuem o ativo cripto que o servidor Discord (ou canal do Telegram) se trata. Na prática, é um bot que pode aprovar automaticamente os usuários se eles provarem que possuem um ativo cripto específico, e inicializar-os uma vez que eles o vendem. A empresa chama de “concierge”, o que exige que o projeto cripto tenha uma carteira cripto instalada, como a Metamask.
Alguns projetos cripto também construíram bots que servem a um propósito semelhante. Se você não puder provar que possui o token do projeto, você não pode acessar seu servidor Discord.
Discórdia é o rei por enquanto. Mas isso pode mudar no futuro.
Amador disse que é “muito certo que a cripto irá sair do Discord eventualmente”.
Não seria a primeira vez que a comunidade migra para uma nova plataforma de comunicação. No início, havia o Bitcoin Talk, depois o Slack, depois o Telegram, e agora o Discord, disse Mitchell. E apesar do aplicativo de bate-papo por voz Clubhouse se tornar brevemente um destino para investidores cripto, a comunidade mudou-se em grande parte para o Twitter Spaces para esse fim.
“A história dos aplicativos de bate-papo e cripto é uma espécie de caminho longo e sinuoso, profundamente desagradável”, disse Amador. “Porque é constantemente sobre escapar de golpes e encontrar um lugar seguro para construir algo juntos.”
FONTE: VICE