在DeFi的黑暗森林中,用户每天面临着各种安全威胁。据报道每年有超过十亿美元的加密资产被走。用户迫切地需要一种钱包卫士来守护资产。上篇文章提到了如?FoxEye这种Web3安全插件,本帖来解释下它们的工作原理。
当谈到反钓鱼时,一个常见的安全模型是基于URL的反钓鱼,因为大部分攻击向量都依赖钓鱼网站,如:
恶意合约高风险代币授权漏洞假NFT危险签名等等面向URL的反钓鱼
建立钓鱼URL的数据库,当用户访问钓鱼网站时进行拦截。
海洋保护探索和教育基金会将使用Polygon区块链探索Web3深海任务:金色财经报道,海洋保护探索和教育基金会(OCEEF)已宣布将使用Polygon区块链将深海任务的Web3体验带入虚拟世界,并利用去中心化治理提升透明度和问责制。使用 Polygon的技术,OCEEF将提供对研究船RV Odyssey的访问权限,Polygon将通过分布式管理系统帮助推动项目访问和项目任务,同时允许用户将通过独特的NFT 资助Odyssey项目。此外,OCEEF 还将与Web3软件即服务平台dSphere合作,后者将提供多链生态系统集成,包括钱包支持、NFT市场、智能合约和预言机等功能。(thebharatexpressnews)[2022/9/26 7:21:10]
面向URL的反钓鱼只能建立在静态的URL黑名单之上,这种措施有用但比较老套也不够全面:
ThunderCore与886 Studios和Outliers Fund推出1亿美元Web3基金:9月12日消息,ThunderCore 已宣布与 886 Studios 和 Outliers Fund 建立全新合作伙伴关系,三方将成立一支全新 Web3 基金并募集 1 亿美元资金,该基金将专注于推动 GameFi、SocialFi、NFT 和元宇宙生态系统发展,同时推动开发人员在 ThunderCore 的 EVM 兼容 Layer 1 区块链上部署应用程序。除此之外,该基金还将积极投资于 Layer 1 生态系统上其他新兴加密领域的项目。( cryptodaily )[2022/9/12 13:24:47]
不完备性:并不能涵盖所有的钓鱼网站。新生成的钓鱼网站是盲区。滞后性:在用户反馈和黑名单更新之间有一定延迟。局限性:对DNS劫持等其他攻击手段无效。面向URL的反钓鱼不能满足用户需求,因为它覆盖的不是最终的安全敞口:待签名交易。
Klaytn基金会推出Web3黑客马拉松:金色财经报道,Klaytn基金会宣布推出他们的全球黑客马拉松,Klaymakers22,超过100万美元的奖金池和赞助的挑战奖、资助和孵化机会。[2022/8/10 12:15:25]
面向交易的反钓鱼
殊途同归,所有的钓鱼都需要发起交易。如果我们能动态地解析交易或签名,并拦截有害的那一部分,就可以实现用户端的安全闭环。
典型的交易过程
Web3Auth推出基于Solana的免助记词钱包Solana Torus:2月4日消息,钱包身份验证基础设施 Web3Auth 宣布获得 Solana 基金会资助,并推出 Solana Torus 钱包。该钱包使用了 Web3Auth 的加密身份验证套件,通过免除助记词环节以降低新人进入 Web3 世界门槛。
此外,Solana Torus 可让用户使用其社交帐户登录,还可以实现无需 KYC 而购买加密货币。[2022/2/4 9:31:29]
本段包含一小部分代码,但不理解代码也可以阅读。标准的交易过程为:
dApp前端通过?ethereum.request调用?eth_sendTransaction?向钱包发送交易信息。?params?包含所有的交易参数。ethereum.request({
method:‘eth_sendTransaction’,
params:
})
钱包要求用户对交易签名。将签过名的交易发送到以太坊节点上。
Hook交易
Hook的意思是钩子。在编程中我们把『拦截系统或软件的函数、信息、事件,并增加或改变其功能』的技术称为hook。
如果我们能hook这个eth_sendTransaction方法,那么就能在其被发送至用户钱包签名前对其进行审查。
在JavaScript中,我们使用基础对象Proxy来完成hook。
创建一个对?ethereum.request的Proxy。
constproxy=newProxy(window.ethereum.request,this.proxyHandler);
window.ethereum.request=proxy;
其中一个参数?this.proxyHandler?中声明了监听到eth_sendTransaction后如何处理,具体细节按下不表,大体为:
拦截交易对象。发送至云端或在本地进行分析。若发现风险行为,警示用户。显然,第二步是这一流程里最关键和最有技术含量的,包括但不限于:
静态分析函数selector,交互地址等调用栈的动态分析链式合约扫描代币检测交易模拟AML库签名分析恶意合约库等等…每一条都可以单独写一篇文章,篇幅所限这里就不展开了。
Tips
最后有几条使用安全插件的几条建议:
仅从官网链接下载。虽然我还没见到仿冒的Web3安全插件,但我可以说它们一定会来的。仅使用开源的插件。Hook是一种很有威力的技术,它不仅能拦截你的交易,也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。简单即弱小。不要在一个Chrome窗口里安装多个安全插件,他们互相之间可能会冲突。如果想体验多个插件,可以装一卸一,或使用Chrome的多用户功能。谨记安全是一种动态追求。风险也在不断变化之中。虽然安全插件能极大提升你的安全水平,但无法保证100%安全。安装安全插件的同时也要提升自己的安全意识。
这个项目是@buildwithsygma.1/Sygma是由@ChainSafeth公司作为核心贡献者孵化的一个跨链互操作项目,其母公司近期宣布完成近2000万美元的A轮融资.
随着大量资金融进入加密世界,投资人的策略、洞见及对周期的判断都显得愈发重要。在新的浪潮中,少了可以复制粘贴的范本,多了创新所带来的价值。?加密世界的周期好比潮起潮落.
FTX在推特上发表了声明,称已在美国执行破产程序,同时曾经登上《财富》杂志封面的前FTX首席执行官SamBankman-Fried宣布辞职.
随着?FTX??事件持续发酵,中心化交易所的储备资产成为加密市场关注的焦点,每一个普通用户都在日夜忧虑:谁有可能下一个暴雷?过去一周,多个平台相继进行透明度公示,披露了部分储备资金钱包地址.
11月11日晚,FTX宣布FTX.com、FTXUS、AlamedaResearch和其他130家关联公司启动破产程序,其中Alameda列出的资产和负债估值在100亿至500亿美元之间.
简介 “ZK-Rollup”可能是今年最热门的网络流行语。随着zkSync2.0版本“babyalpha”主网的推出,这种兴奋情绪已经达到了顶峰.