在DeFi的黑暗森林中,用戶每天面臨著各種安全威脅。據報道每年有超過十億美元的加密資產被騙走。用戶迫切地需要一種錢包衛士來守護資產。上篇文章提到了如?FoxEye這種Web3安全插件,本帖來解釋下它們的工作原理。
當談到反釣魚時,一個常見的安全模型是基于URL的反釣魚,因為大部分攻擊向量都依賴釣魚網站,如:
惡意合約高風險代幣授權漏洞假NFT危險簽名等等面向URL的反釣魚
建立釣魚URL的數據庫,當用戶訪問釣魚網站時進行攔截。
菲律賓證交會提交涵蓋數字產品和加密貨幣監管的新草案:金色財經報道,菲律賓證券交易委員會(SEC)起草《共和國法案第 11765 號實施細則和條例》(IRR)和《金融產品和服務消費者保護法》(FCPA),并已開始征詢公眾意見,其中涵蓋了數字產品和加密貨幣,擴大了證券的定義,包括代幣化證券產品或使用區塊鏈或分布式賬本技術(DLT)的其他金融產品,同時通過數字渠道訪問和交付的產品及其提供商相關的數字金融產品和服務也將屬于 SEC 的職權范圍。[2023/1/30 11:36:29]
面向URL的反釣魚只能建立在靜態的URL黑名單之上,這種措施有用但比較老套也不夠全面:
Robinhood上線USDC:9月20日消息,Robinhood宣布新增上線USDC。[2022/9/21 7:09:34]
不完備性:并不能涵蓋所有的釣魚網站。新生成的釣魚網站是盲區。滯后性:在用戶反饋和黑名單更新之間有一定延遲。局限性:對DNS劫持等其他攻擊手段無效。面向URL的反釣魚不能滿足用戶需求,因為它覆蓋的不是最終的安全敞口:待簽名交易。
面向交易的反釣魚
殊途同歸,所有的釣魚都需要發起交易。如果我們能動態地解析交易或簽名,并攔截有害的那一部分,就可以實現用戶端的安全閉環。
金融科技支付公司 Tribal Credit 將加入加密行業游說團體:金色財經消息,金融科技支付公司 Tribal Credit 計劃加入加密行業游說團體“Blockchain Association”,它將貢獻其在新興市場區塊鏈用例方面的專業知識,并與監管機構和其他利益相關者進行對話。(CoinDesk)[2022/6/28 1:35:33]
典型的交易過程
本段包含一小部分代碼,但不理解代碼也可以閱讀。標準的交易過程為:
dApp前端通過?ethereum.request調用?eth_sendTransaction?向錢包發送交易信息。?params?包含所有的交易參數。ethereum.request({
Bitso在2022年上半年處理了墨西哥和美國之間10億美元的加密匯款:金色財經消息,拉丁美洲加密貨幣交易所Bitso周四宣布,在2022年上半年處理了墨西哥和美國之間10億美元的加密貨幣匯款。該公司表示,與2021年前六個月相比,該金額增長了400%,據該公司稱,Bitso在2022年第一季度處理了4%的全球匯款到墨西哥,并補充說,它希望到2023年達到10%的市場份額。
Bitso在墨西哥、巴西、阿根廷和哥倫比亞開展業務,6月份用戶達到500萬。該公司最近解雇了80名員工,理由是其“長期業務戰略”,但它沒有提到融資的任何困難。[2022/6/17 4:33:36]
method:‘eth_sendTransaction’,
params:
})
錢包要求用戶對交易簽名。將簽過名的交易發送到以太坊節點上。
Hook交易
Hook的意思是鉤子。在編程中我們把『攔截系統或軟件的函數、信息、事件,并增加或改變其功能』的技術稱為hook。
如果我們能hook這個eth_sendTransaction方法,那么就能在其被發送至用戶錢包簽名前對其進行審查。
在JavaScript中,我們使用基礎對象Proxy來完成hook。
創建一個對?ethereum.request的Proxy。
constproxy=newProxy(window.ethereum.request,this.proxyHandler);
window.ethereum.request=proxy;
其中一個參數?this.proxyHandler?中聲明了監聽到eth_sendTransaction后如何處理,具體細節按下不表,大體為:
攔截交易對象。發送至云端或在本地進行分析。若發現風險行為,警示用戶。顯然,第二步是這一流程里最關鍵和最有技術含量的,包括但不限于:
靜態分析函數selector,交互地址等調用棧的動態分析鏈式合約掃描代幣檢測交易模擬AML庫簽名分析惡意合約庫等等…每一條都可以單獨寫一篇文章,篇幅所限這里就不展開了。
Tips
最后有幾條使用安全插件的幾條建議:
僅從官網鏈接下載。雖然我還沒見到仿冒的Web3安全插件,但我可以說它們一定會來的。僅使用開源的插件。Hook是一種很有威力的技術,它不僅能攔截你的交易,也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。簡單即弱小。不要在一個Chrome窗口里安裝多個安全插件,他們互相之間可能會沖突。如果想體驗多個插件,可以裝一卸一,或使用Chrome的多用戶功能。謹記安全是一種動態追求。風險也在不斷變化之中。雖然安全插件能極大提升你的安全水平,但無法保證100%安全。安裝安全插件的同時也要提升自己的安全意識。
Tags:ETHHOOOXYPROETH Max Yield IndexSHOO價格Foxy EquilibriumOmega Protocol
BUSD的透明度 BUSD是一種與美元掛鉤的穩定幣,由Paxos發行,并得到Binance的品牌支持.
1900/1/1 0:00:00Solidity及EVM開發工具介紹這篇文章將介紹Ethereum開發者的一些實用工具:Foundry除了測試之外的功能及VSCode的SolidityVisualDeveloper插件Phot.
1900/1/1 0:00:00眾所周知,區塊鏈是一個分布式數據庫,它支持安全、透明和防篡改的數據共享。區塊鏈技術的眾多潛在應用在加密社區中引發了一場關于區塊鏈擴展最佳方式的激烈討論.
1900/1/1 0:00:00礦工可提取價值是無許可分布式系統的基礎,無論是PoW工作量證明還是PoS權益證明,MEV都是不可或缺的.
1900/1/1 0:00:00穩慎推進虛擬資產業在港發展特區政府在上月底發表了《有關虛擬資產在港發展的政策宣言》,闡明了我們對虛擬資產行業、相關創新技術與應用,和其生態系統發展的愿景和方針.
1900/1/1 0:00:00撰寫:milesjennings,a16z加密總法律顧問本周的事件又會讓更多的人將Web3當作是"狂野的西部".
1900/1/1 0:00:00