Vice: Discord — главный финансовый мессенджер и рассадник мошенников

В начале мая 2022 года основатель Ethereum-платформы Origin Джон Фрейзер решил изучить Discord — чат-приложение для геймеров, которое стало основной платформой для криптопроектов по всему миру. То, что он нашёл, поразило его, пишет Vice.

Фрейзер хотел установить на своём сервере автоматический скрипт, который будет оповещать его каждый раз, когда пользователи будут упоминать в чатах заданные ключевые слова. К нескольким приватным чатам он не смог получить доступ, однако узнал часть данных по ним, в том числе названия, описание и полный список участников.

Так как Discord используется многими известными и малоизвестными криптовалютными проектами, эта информация может быть использована для выяснения того, что определённый проект собирается запустить новый токен или скоро, например, будет зарегистрирован на Coinbase.

Такие вещи способны оказывать влияние на стоимость монеты. По словам Фрейзера, имена и списки пользователей частных каналов могут даже раскрыть людей, которые несут ответственность за проведение финансовых операций через кошельки с несколькими подписями.

На традиционном финансовом рынке общение обычно происходит согласно протоколам. Например, у пользователей терминалов Bloomberg есть внутренний мессенджер Instant Bloomberg. Каждый его пользователь сперва подтверждает личность, а потом входит в систему по отпечатку пальца.

Это противоречит идеологии децентрализованных финансов, но сам Discord не гарантирует соответствующего уровня безопасности — например, в чатах нет шифрования, история переписки доступна всем новым участникам, да и данные из приватных чатов тоже можно обнаружить.

Здесь много мошенников. Они могут распространять фишинговые ссылки, взламывать отдельные аккаунты и целые сервера. Например, в мае 2022 года злоумышленники пытались получить доступ к кошелькам участников группы NFT-маркетплейса OpenSea.

Так происходит, потому что криптовалютные энтузиасты по ошибке верят мошенническим сообщениям, которые получают от официальных ботов. Система в таких случаях не предупреждает об опасности.

Discord был создан для геймеров, то есть для больших групп людей, которые не знают друг друга и не доверяют друг другу. И это на самом деле более лучшая модель для криптосообществ, которые представляют собой большие группы людей, не знают друг друга и не имеют веские причины доверять друг другу, — рассказал Фрейзер.

Ещё одна новая схема — использование мошенниками подписки Discord Nitro, которая позволяет задействовать разные псевдонимы на различных серверах. Специалист по кибербезопасности Джесси Ирвин рассказала, что наткнулась на хакера, который выдал себя за главу компании, где она работала.

Генеральный директор DeFi-проекта Immunefi Митчелл Амадор уверен, что Discord строили без мыслей о безопасности или конфиденциальности. А по словам соучредителя Zellic Стивена Тонга, приложение прежде всего создавали для геймеров, у которых совсем другие потребности и заботы:

У всего этого сообщества есть много травм, полученных ещё во времена старого Skype. Когда все пользовались Skype, было очень легко узнать чей-то IP-адрес. И из-за этого Discord очень тщательно следит за тем, чтобы максимально затруднить извлечение чьего-либо IP-адреса из простого разговора по Discord.

Если вы кит с миллионом долларов, вы не захотите вещать всему миру: «Эй, я человек с миллионом долларов в моем криптокошельке». Это довольно опасно.

Идеи, которые появлялись у команды Discord, были быстро отвергнуты основной аудиторией приложения. Геймерам не понравилось предложение внедрить функцию подключения криптокошельков — они даже грозились отменить из-за этого платные подписки. Поэтому руководство отказалось от таких идей.

Пусть Discord пытается инвестировать в защитные механизмы, модерирует спам, предупреждает об опасных ссылках и тестирует алгоритмы выявления подозрительного поведения, это не решает проблему безопасности. Джесси Ирвин напомнила, что в приложении распространяют вредоносное ПО и в нём есть случаи, когда хакеры используют методы социальной инженерии.

Пока нет достойных альтернатив для криптоэнтузиастов. Некоторые криптовалютные проекты используют Telegram, но необходимых функций для таких сообществ там пока меньше. Поэтому приходится адаптироваться в Discord. Некоторые разработчики помогают им в этом.

Например, один из них создал Good Knight — это бесплатный бот, который в том числе способен контролировать размещение ссылок на сервере. А для исключения возможности взлома администраторам предлагают создавать холодный и горячий аккаунты. Первый имеет все разрешения, но используется лишь при необходимости.

А вот второй, горячий аккаунт, нужно задействовать для общения. У него не будет разрешений, но он окажется на виду. Если хакер взломает этот аккаунт, то не получит доступ к боту. Для Discord и Telegram также есть бот Collab.land. Он интегрирован с кошельком Metamask и пускает только владельцев, у кого на счету есть указанный администраторами криптоактив.

Пока что Discord считается лидером у криптоэнтузиастов, но это может измениться в будущем. Митчелл Амадор «очень уверен, что криптовалюты в конечном итоге уйдут из Discord». Это не первый раз, когда сообщество переходит на новую коммуникационную платформу.

Сначала был Bitcoin Talk, затем Slack, потом Telegram, а теперь Discord, сказал Митчелл. Несмотря на то, что приложение Clubhouse ненадолго стало местом встречи криптоинвесторов, сообщество в основном для этих целей стало использовать Twitter Spaces:

История отношений между мессенджерами и криптовалютами — это длинный, извилистый и глубоко неприятный путь. Потому что, чтобы создать что-то вместе, приходится постоянно спасаться от мошенников и искать безопасное место.