Slackに存在するフィッシング詐欺と戦う方法
Translated by Yukako Nitta (MeetICO)
最近、いくつかのブロックチェーン・コミュニティのSlack(スラック)がフィッシング詐欺の被害を受ています。例えば、悪意のあるユーザーが@GnosisOfficialなどの偽のSlackハンドルを作成し、本物の公式Slackに参加してるユーザー直接通知し、ユーザーの秘密キー情報を得ようとしているようです。
残念ながら、現在これに直接対処するための機能・設定はSlackにはありません。
当然、それぞれのSlackチームのアドミン(管理者)には、特定のユーザー及びメールアドレスをブロックする機能があります。しかし、たとえ偽@GnosisOfficialをブロックしても、詐欺師は、新たなメールアドレスでアカウントを作ることができるため、結局いたちごっこになり、この詐欺の手口を完全に防ぐことはできません。
Gnosis(ノーシス)のソリューション
この問題を受け、私たちは、Slackin invitation app(スラックイン招待アプリ)とMetaMask(メタマスク)を使用して新しいツールを作成しました。
既ににGnosisのSlackに参加しているユーザーがGnosisの開発やディスカッションに積極的に貢献していることを確認します。そして、新たにGnosisのSlackに参加したいユーザーはhttps://slack.gnosis.pm/に誘導されます。
新たに参加する手順はこちらです。
https://slack.gnosis.pm/では、下記が記載されています。
MetaMaskアカウントを持っていない場合:
・ [MetaMaskをダウンロードしてください]と表示されます(①)
・ MetaMaskのホームページから、MetaMaskのプラグイン(Google Chrome用拡張機能)をダウンロードして、0.01GNO以上のGNO残高を口座にご用意ください。
MetaMaskアカウント内に0.01GNO以上のGNO残高がある場合:
・ MetaMaskアカウントにサインインした状態で、MetaMaskアカウントに利用しているメールアドレスを、入力フォーム(②)に入力します。
・ [GET MY INVITE(招待状を受け取る)](③)をクリックすると、「MetaMask Notification」というポップアップが表示されます。
・ これは、サインメッセージという機能で、メッセージ欄に記載されている内容をサイン(署名)することで確認・承諾すると、記載されている内容が実行されます。
・ メッセージ欄には、「MetaMaskで利用しているメールアドレス(④ = ②で入力したメールアドレス)へ、GnosisのSlackへの招待を送ってください。」という意味の英文が自動的に入力されていますので、④のメールアドレスに誤りがないことを確認して[Sign(サイン)](⑤)をクリックします。
・ サイン(署名)されたメッセージは私たちのサーバーに送られ、サインからEthereumアカウントキーを導き出し、該当アカウントがGNOを保持しているかを検証します。 アカウントが0.01GNOを保有している場合は、ユーザーのメールアドレスへ招待状を送信します。 それ以外の場合は、サインアップできないことをメールでお知らせいたします。
なお、GNOをお持ちでなく、GnosisのSlackへの参加を希望される場合は、希望理由をslack@gnosis.pmまでメールしてください。
このアイデアは、Alex Miller氏のパスワードの代わりにEthereumとMetaMaskを使用するという記載を参考にいたしました。 これは、大きな問題に対する簡単で短期間で対応可能な解決策であり、詐欺がSlackに侵入しにくくします。 この対策を実装してから今日まで、GnosisのSlackは新たな攻撃を受けていません。 将来的には、不正行為や詐欺行為を防ぐために、契約の担保としてGNOを預け、不正行為をした場合、そのGNOは振替もしくは焼却されるというシステムの開発を検討しています。
あなた自身Slackコミュニティに導入する方法:
上記でご紹介したトークンホルダーを確認する方法を、ご自身のSlackコミュニティで活用したい場合は、こちらのレポートをフォークして、指定された所に、ご自身のトークンのABI契約と
アドレスを入力してください。
フィードバックやご質問は、メールもしくは、Slackでお待ちしております。
メールアドレス: collin.chin@berkeley.edu
Slack:@collinc
Originally published at blog.gnosis.pm on August 28, 2017.