加密行業的 360 衛士？盤點正在興起的“防釣魚插件”_NFT:MET

1 月 28 日，Azuki 的 Twitter 賬號被黑，導致其粉絲連接到釣魚鏈接，超 122 枚 NFT 被盜，損失超過 78 萬美元。1 月 26 日，NFT 項目 Moonbirds 的創始人 Kevin Rose 錢包被盜，約 40 個 NFT 被盜取，損失超過 200 萬美元，手法還是 NFT “零元購”釣魚，一筆簽名即可被釣走在 OpenSea 授權過的資產。1 月 15 日，@NFT_GOD 因點擊谷歌上的釣魚廣告鏈接，導致所有賬戶（substack twitter 等）、加密貨幣、NFT 被盜。

為何普通用戶和項目方創始人都屢遭釣魚攻擊，市場上有哪些防釣魚瀏覽器插件？本文對 11 款插件進行了盤點。

原文鏈接（可在評論中找到官網推特與其網址）：

https://twitter.com/WutalkWu/status/1618742863428485120?s=19

主流插件（安裝次數大于 10k）

1、PeckShieldAlert：安裝次數 50k+，中英文界面。派盾（PeckShield）團隊產品。

Celcius CEO：加密行業不需要馬斯克這樣的朋友:Celcius Network首席執行官Alex Mashinsky表示，加密行業不需要馬斯克這樣的朋友。他在接受雅虎財經采訪時表示：“比特幣在過去十年里上漲了20000000%，是過去十年里表現最好的資產類別，沒有埃隆，這個行業也會做得很好。”他指出，特斯拉通過出售部分比特幣獲得了3億美元的利潤，這極大地改善了其第一季度的盈利。Alex Mashinsky說：“很明顯，他們用比特幣為自己帶來了一個非常重要的季度。所以你不能兩者兼得。你不能說比特幣對我不好。”（Cointelegraph）[2021/5/14 22:01:35]

網站顯示其惡意地址收錄數量 1,286,478、釣魚網站收錄數量 90,931，且不斷更新中。目前僅支持 ETH 和 BSC 兩條鏈。

包含功能：Token 合約監測、錢包授權管理、主動防御詐騙代幣威脅、主動防御釣魚網站威脅、可信域名檢測、惡意插件檢測等防釣魚網站功能。

2、Pocket Universe：安裝次數 20k+、可用于 Firefox 、Microsoft Edge、Google Chrome 等瀏覽器、僅適用于 ETH 主網。聲稱與 Metamask、Coinbase wallets 錢包有合作。

聲音 | Crebaco Global CEO：迄今為止沒有研究表明加密行業對印度經濟構成威脅:印度區塊鏈和加密公司Crebaco Global Inc.首席執行官Sidharth Sogani近期接受采訪時表示，迄今為止沒有研究表明加密行業對印度經濟構成威脅：“到目前為止，加密經濟還不到2500億美元，假設全球所有的比特幣都被用于恐怖主義和洗錢，它仍然會比用于洗錢、恐怖主義融資和其他非法活動的法幣規模要小。”關于比特幣不可追溯的特性，以及許多人利用風險資本資金逃稅的說法，Sogani表示，印度央行只是在做假設，其主張是毫無根據的。他聲稱，BTC實際上是可追溯的，因為適當的監管基礎設施已經到位。他認為，如果銀行等受到監管的實體開始接受比特幣，那么政府以及印度央行等監管機構就能更好地追蹤比特幣的動向。（Cointelegraph）[2020/2/6]

包含功能：監測惡意 Seaport 交易、Honeypot NFT 以及釣魚網站。

使用特性：不鏈接錢包，通過模擬交易的方式驗證交易安全，略微影響交易速度（不超過 1 秒）。

動態 | 虛擬商品協會成立六個委員會為加密行業提供標準和監管:據decrypt消息， 由Winklevoss兄弟的雙子星交易所、Bitstamp，bitFlyer USA和Bittrex去年8月推出的業界自我監管組織，虛擬商品協會（VCA），今天宣布成立六個委員會，旨在為加密行業提供標準和監管監督。[2019/7/11]

3、Revoke.cash：安裝次數 10k+，中英文界面。適用于所有基于 EVM 的鏈，如 Ethereum、Polygon 和 Avalanche、可用于 Firefox 、Microsoft Edge、Google Chrome 等瀏覽器。

包含功能：對非白名單 NFT 交易網站、釣魚網站的交易會彈出警告；可撤銷授權。

4、Fire：安裝次數 10k+、適用于以太坊主網和 Polygon。與 MetaMask 和 Coinbase 錢包兼容，可適用任何以太坊錢包。

工作原理：通過模擬用戶受影響的 ERC-20、ERC-721 和 ERC-1155 交易，監測掃描交易是否安全。

動態 | 摩根溪創始人發推總結本周加密行業大事件:摩根溪數字資產創始人Apompliano發推總結了本周加密行業大事件：1. NASA使用區塊鏈技術；2. tZero分發安全令牌；3.Bitwise向SEC提交ETF申請；4. 全球第二大比特幣礦商迦南考慮在美國上市；5. ETH基金會向parity技術公司捐贈了500萬美元；6. 科羅拉多州的一項法案中免除某些證券法律對加密貨幣的限制。[2019/1/13]

小眾插件（安裝次數小于 10k）

1、Wallet Guard：安裝次數 6k+，Binance Labs 孵化。

功能：阻止訪問近期創建且信任度低的網站、自動禁用惡意拓展應用程序、監測并阻止訪問釣魚網站。

2、MetaDock：安裝次數 3k+，代碼開源，安全公司 BlockSec 團隊產品。

功能：僅支持 BTC、ETH、BSC、Polygon、Fantom、Arbitrum、Cronos、Avalanche、Optimism、Moonbeam 公鏈以及 Opensea。可查看地址資金流向、監測 NFT 藏品風險、與 Debank、NFTGo 等產品交互。

動態 | Hashhub東京大學研討會：過度管制使日本加密行業發展滯后:于東京大學召開的“hashhub conference 2018”會議中，就“規制和稅制對日本加密貨幣行業造成的影響”這一問題的討論中，與會專家紛紛表達了自己的看法。創法律事務所齋藤創認為，虛擬貨幣行業制定規章制度過于嚴格的弊端是令日本落后于世界。區塊鏈會計師柿澤仁表示，日本的規章制度缺乏商業敏感，金錢大量流向海外。安德森·毛利·友常律事務所律師長瀨威志稱，限制過于嚴格會阻礙有前途的小型商業發展，類似的例子有民宿和拼車。AerialPartners代表理事沼澤健人則表示，在規章制度仍然十分混沌的當下，是全力開發技術的時機。[2018/7/23]

3、Blockem：安裝次數 930

功能：AI算法模擬交易以及地址打分

4、Metashield：安裝次數 864、代碼開源、由 BuidlerDAO 孵化的第一個項目。

工作原理：識別 approve 和 send 交易，并通過黑白名單的方式以及檢查被授權地址的狀態，幫助用戶進行預警和攔截釣魚網站。無需連接錢包、無需授權。

5、Stelo：安裝次數 628、代碼開源、適用于任何基于 Chromium 的瀏覽器。

工作原理：Stelo 通過包裝 Metamask 注入頁面的 window.ethereum Javascript 對象來暫停發送到 Metamask 的交易請求。一旦用戶在 Stelo 中批準交易，它就會恢復 Metamask 請求，如果用戶拒絕它，它會取消請求。

6、Scam Sniffer：安裝次數 615、代碼開源。

包含功能：Detector API（監測轉移用戶資產、請求授權等惡意行為）、模擬交易等。

7、Beosin Alert：安裝次數 291，由區塊鏈安全審計公司 Beosin 團隊開發。

盤點小結

慢霧創始人余弦表示其重點關注了 Scam Sniffer、Revoke.cash、Wallet Guard、Pocket Universe、Fire。

使用人數最多、功能最全的是 PeckShieldAlert。但就安裝次數而言，其與 MetaMask 10M+、Phantom 2M+ 相比，也幾乎是忽略不記。此外該領域未見融資信息，說明無論從用戶還是投資人的角度而言都未對其真正重視。

慢霧團隊成員 @IM_23pds 觀點：

區塊鏈行業被釣魚攻擊主要分布在“域名、簽名”兩點，其中 90% 的 NFT 釣魚都跟虛假域名有關。如果用戶打開一個釣魚頁面，相關的插件、瀏覽器就能直接提示風險，這樣就沒有了后面騙簽名的步驟，可以把風險阻斷在第一步。

此前 Web2 世界中的 360 時代就解決了當時小白用戶被病攻擊的困擾，但它也并非解決了木馬病問題。病的查殺和病的免殺(一種專業的躲避殺軟件查殺技術，可以自行 Google 了解) 永遠存在時間差，如何做到時間差更小，樣本數更快、識別更精準就決定了殺軟件的厲害程度。

同樣，在區塊鏈、NFT 行業，如何能第一步識別、提醒到釣魚站點的實時情況，在用戶端反饋出速度和識別度也決定了一款防釣魚插件的能力；而如果相關產品沒有在第一步識別到這些釣魚域名，用戶丟幣的風險就大大增加。

此前如果錢包有騙簽識別，能夠不錯的展示出用戶要簽名的詳細信息，如授權什么、多少、給誰等人類可讀數據，也可一定程度上避免被盜。但當前 MetaMask 雖有 80% 的市場占有率，但是解析實在夠嗆。

雖然也有一些產品解析做的不錯，但仍無法防丟幣丟 NFT。任何的產品、文章、提醒都是輔助，建立自己的安全意識，可能才可以一直立于不丟幣、不丟 NFT 之地。個人安全意識，這才是王者。

區塊鏈研究員 @tmel0211 觀點：MetaMask 等自托管錢包的技術邏輯是幫助用戶安全保管本地私鑰，處理用戶交易簽名，提供 gateway 連接各大區塊鏈主網，便捷展開 DeFi 等智能合約交互等。理論上講，在不影響錢包轉賬交互功能的前提下，嵌入任何優化體驗的插件服務都是可行的。防釣魚地址篩查只能算其中一種剛性需求。

不過，目前主流錢包產品功能都很簡潔，在服務優化上很克制。原因如下：

1、受客戶端信息有效載荷影響，移動端交互相比瀏覽器插件更需要簡潔；2、受去中心化共識的影響，釣魚網站、黑名單庫等需要中心化的運維支撐，會產生共識側的非議；3、受商業化傾向影響，服務夾層雖能優化體驗卻很難商業變現。

目前市場主流瀏覽器安全插件，大多為第三方安全數據公司提供：體驗都不錯，但普及度還不夠。它們都有一個夢想，成為守護 web3 的 360 安全衛士，雖然道阻且長：

1、提供插件服務的插件本身也存在潛在的安全風險可能，其信任共識需要時間積累；2、常在 DEX 環境下交易或 Mint NFT 的活躍用戶現階段安全意識尚且薄弱，用戶習慣待養成；3、釣魚網站更新、黑名單地址庫等運維挑戰大；

在我看來，錢包敘事應該會趨向于垂直細分化。1、面向極客的極簡錢包；2、面向小白的安全交互防釣魚錢包；3、面向機構的可定制化錢包；4、MPC 錢包；5、智能合約錢包等等。

但無論怎樣，這和安全插件服務市場并不沖突，現階段共存、互補，相信一款優秀的瀏覽器安全插件終將成為錢包一樣的標配。

金色早8點

金色財經

Odaily星球日報

歐科云鏈

澎湃新聞

Arcane Labs

深潮TechFlow

MarsBit

BTCStudy

鏈得得

Tags：NFTETAMETMASNFTTMetaAirMetaFamemas幣能買嗎

火幣交易所