原文作者:Wade
原文編輯:ColinWu
1月28日,Azuki的Twitter賬號被黑,導致其粉絲連接到釣魚鏈接,超122枚NFT被盜,損失超過78萬美元。1月26日,NFT項目Moonbirds的創始人KevinRose錢包被盜,約40個NFT被盜取,損失超過200萬美元,手法還是NFT“零元購”釣魚,一筆簽名即可被釣走在OpenSea授權過的資產。1月15日,@NFT_GOD因點擊谷歌上的釣魚廣告鏈接,導致所有賬戶、加密貨幣、NFT被盜。
為何普通用戶和項目方創始人都屢遭釣魚攻擊,市場上有哪些防釣魚瀏覽器插件?本文對11款插件進行了盤點。
原文鏈接。
主流插件
1、PeckShieldAlert:安裝次數50?k,中英文界面。派盾團隊產品。
網站顯示其惡意地址收錄數量1,?286,?478、釣魚網站收錄數量90,?931?,且不斷更新中。目前僅支持ETH和BSC兩條鏈。
數據:2022年超6萬名Web3開發者加入加密行業,環比增加25.8%:1月18日消息,據Electric Capital最新報告中數據顯示,2022年共計61,127名Web3開發人員加入加密行業,創下歷史記錄,比2021年增加25.8%。其中,全職開發人員(對76%Github提交做出貢獻的開發者)增加15.2%,人數超過7000人。每月活躍Web3開發者人數增加5.4%,超過23,300人。
以太坊仍主導開發者活動,其全職開發者人數增加了9%至1,873人,這超過了接下來三個最多生態開發者人數的總和:Polkadot(752名)、Cosmos(511名)和Solana(383名)。此外,Electric Capital表示,因部分項目為閉源,預估實際Web3開發者數量要遠超于此。[2023/1/18 11:18:37]
包含功能:Token合約監測、錢包授權管理、主動防御詐騙代幣威脅、主動防御釣魚網站威脅、可信域名檢測、惡意插件檢測等防釣魚網站功能。
觀點:如今的加密行業高度集中,帶有“殖民思維”:3月21日消息,據Business Insider報道,德蒙福特大學計算機科學與信息學學院的研究員Catherine Flick認為,在少數大人物的技術官僚治理下,互聯網已經演變成一個高度集中的網絡。Flick同時也認為加密行業有一種“殖民思維”,權力集中在少數依賴廉價勞動力的人手中。
她解釋說,一些杰出的藝術家創造了一些業內炙手可熱的NFT藏品,但他們沒有得到公平的補償。例如Bored ape Yacht Club(BAYC)系列背后的首席藝術家,據稱她的作品未獲得公平的報酬。
Flick進一步指出,去中心化意味著沒有單獨的個人或公司掌握控制權。但現在的情況并非如此,因為似乎出現了“如此多理論上去中心化但實際上重新中心化的事例”。例如,BAYC背后公司Yuga Labs從Larva Labs手中收購了CryptoPunks和Meebits藏品。(Zycrypto)[2022/3/21 14:09:34]
2、PocketUniverse:安裝次數20?k、可用于Firefox、MicrosoftEdge、GoogleChrome等瀏覽器、僅適用于ETH主網。聲稱與Metamask、Coinbasewallets錢包有合作。
印度加密行業發起運動以敦促立法者駁回加密禁令法案:印度政府計劃在本屆議會會議期間引入新的加密貨幣法案。該法案試圖為央行發行的數字盧比創建一個監管框架,同時禁止“私人”加密貨幣。為回應政府的計劃,印度加密行業周四發起了一項在線活動,以說服盡可能多的代表了解加密法案并爭取獲得支持。他們還為這項運動建立了一個網站,允許印度人選擇他們的選區,如果該法案在議會提出,他們可以向人民院代表發送電子郵件表示支持。這些郵件指出了印度加密行業的幾個關鍵事實,包括該國有1000萬至2000萬活躍的加密用戶,超過340家提供加密服務的初創公司,大約5萬名員工,以及數百萬美元的風險投資。其中一封電子郵件詳細介紹了該國最高法院在去年3月取消銀行禁令后,“印度的加密產業經歷了巨大的繁榮”,“超過2000萬印度公民通過投資加密貨幣而信任了加密市場”。(Bitcoin.com)[2021/2/5 19:00:48]
包含功能:監測惡意Seaport交易、HoneypotNFT以及釣魚網站。
Compound總法律顧問:SEC主席的接替將對整個加密行業產生巨大影響:Compound總法律顧問Jake Chervinsky發推稱:“SEC主席是美國加密監管領域最重要的官員之一。Jay Clayton的接替將對整個行業產生巨大影響(無論是好是壞)。未來幾年,我們能否在比特幣ETF等一系列問題上獲得批準和澄清,仍是未知數。”[2020/6/20]
使用特性:不鏈接錢包,通過模擬交易的方式驗證交易安全,略微影響交易速度。
3、Revoke.cash:安裝次數10?k,中英文界面。適用于所有基于EVM的鏈,如Ethereum、Polygon和Avalanche、可用于Firefox、MicrosoftEdge、GoogleChrome等瀏覽器。
包含功能:對非白名單NFT交易網站、釣魚網站的交易會彈出警告;可撤銷授權。
4、Fire:安裝次數10?k、適用于以太坊主網和Polygon。與MetaMask和Coinbase錢包兼容,可適用任何以太坊錢包。
動態 | 摩根溪創始人發推總結本周加密行業大事件:摩根溪數字資產創始人Apompliano發推總結了本周加密行業大事件:1. NASA使用區塊鏈技術;2. tZero分發安全令牌;3.Bitwise向SEC提交ETF申請;4. 全球第二大比特幣礦商迦南考慮在美國上市;5. ETH基金會向parity技術公司捐贈了500萬美元;6. 科羅拉多州的一項法案中免除某些證券法律對加密貨幣的限制。[2019/1/13]
工作原理:通過模擬用戶受影響的ERC-20、ERC-721和ERC-1155交易,監測掃描交易是否安全。
小眾插件
1、WalletGuard:安裝次數6?k,BinanceLabs孵化。
功能:阻止訪問近期創建且信任度低的網站、自動禁用惡意拓展應用程序、監測并阻止訪問釣魚網站。
2、MetaDock:安裝次數3?k,代碼開源,安全公司BlockSec團隊產品。
功能:僅支持BTC、ETH、BSC、Polygon、Fantom、Arbitrum、Cronos、Avalanche、Optimism、Moonbeam公鏈以及Opensea。可查看地址資金流向、監測NFT藏品風險、與Debank、NFTGo等產品交互。
3、Blockem:安裝次數930?
功能:AI?算法模擬交易以及地址打分
4、Metashield:安裝次數864、代碼開源、由BuidlerDAO孵化的第一個項目。
工作原理:識別approve和send交易,并通過黑白名單的方式以及檢查被授權地址的狀態,幫助用戶進行預警和攔截釣魚網站。無需連接錢包、無需授權。
5、Stelo:安裝次數628、代碼開源、適用于任何基于Chromium的瀏覽器。
工作原理:Stelo通過包裝Metamask注入頁面的window.ethereumJavascript對象來暫停發送到Metamask的交易請求。一旦用戶在Stelo中批準交易,它就會恢復Metamask請求,如果用戶拒絕它,它會取消請求。
6、ScamSniffer:安裝次數615、代碼開源。
包含功能:DetectorAPI、模擬交易等。
7、BeosinAlert:安裝次數291?,由區塊鏈安全審計公司Beosin團隊開發。
盤點小結
慢霧創始人余弦表示其重點關注了ScamSniffer、Revoke.cash、WalletGuard、PocketUniverse、Fire。
使用人數最多、功能最全的是PeckShieldAlert。但就安裝次數而言,其與MetaMask10?M、Phantom2?M相比,也幾乎是忽略不記。此外該領域未見融資信息,說明無論從用戶還是投資人的角度而言都未對其真正重視。
慢霧團隊成員@IM_?23?pds觀點:
區塊鏈行業被釣魚攻擊主要分布在“域名、簽名”兩點,其中90%的NFT釣魚都跟虛假域名有關。如果用戶打開一個釣魚頁面,相關的插件、瀏覽器就能直接提示風險,這樣就沒有了后面騙簽名的步驟,可以把風險阻斷在第一步。
此前Web2世界中的360時代就解決了當時小白用戶被病攻擊的困擾,但它也并非解決了木馬病問題。病的查殺和病的免殺(一種專業的躲避殺軟件查殺技術,可以自行Google了解)永遠存在時間差,如何做到時間差更小,樣本數更快、識別更精準就決定了殺軟件的厲害程度。
同樣,在區塊鏈、NFT行業,如何能第一步識別、提醒到釣魚站點的實時情況,在用戶端反饋出速度和識別度也決定了一款防釣魚插件的能力;而如果相關產品沒有在第一步識別到這些釣魚域名,用戶丟幣的風險就大大增加。
此前如果錢包有騙簽識別,能夠不錯的展示出用戶要簽名的詳細信息,如授權什么、多少、給誰等人類可讀數據,也可一定程度上避免被盜。但當前MetaMask雖有80%的市場占有率,但是解析實在夠嗆。
雖然也有一些產品解析做的不錯,但仍無法防丟幣丟NFT。任何的產品、文章、提醒都是輔助,建立自己的安全意識,可能才可以一直立于不丟幣、不丟NFT之地。個人安全意識,這才是王者。
區塊鏈研究員@tme?l0?211觀點:MetaMask等自托管錢包的技術邏輯是幫助用戶安全保管本地私鑰,處理用戶交易簽名,提供gateway連接各大區塊鏈主網,便捷展開DeFi等智能合約交互等。理論上講,在不影響錢包轉賬交互功能的前提下,嵌入任何優化體驗的插件服務都是可行的。防釣魚地址篩查只能算其中一種剛性需求。
不過,目前主流錢包產品功能都很簡潔,在服務優化上很克制。原因如下:
1、受客戶端信息有效載荷影響,移動端交互相比瀏覽器插件更需要簡潔;2、受去中心化共識的影響,釣魚網站、黑名單庫等需要中心化的運維支撐,會產生共識側的非議;3、受商業化傾向影響,服務夾層雖能優化體驗卻很難商業變現。
目前市場主流瀏覽器安全插件,大多為第三方安全數據公司提供:體驗都不錯,但普及度還不夠。它們都有一個夢想,成為守護web3的360安全衛士,雖然道阻且長:
1、提供插件服務的插件本身也存在潛在的安全風險可能,其信任共識需要時間積累;2、常在DEX環境下交易或MintNFT的活躍用戶現階段安全意識尚且薄弱,用戶習慣待養成;3、釣魚網站更新、黑名單地址庫等運維挑戰大;
在我看來,錢包敘事應該會趨向于垂直細分化。1、面向極客的極簡錢包;2、面向小白的安全交互防釣魚錢包;3、面向機構的可定制化錢包;4、MPC錢包;5、智能合約錢包等等。
但無論怎樣,這和安全插件服務市場并不沖突,現階段共存、互補,相信一款優秀的瀏覽器安全插件終將成為錢包一樣的標配。
比特幣(BTC)似乎表現良好,試圖消除因對加密行業進行新的監管審查而產生的不確定性。事實上,不確定性似乎使2023年的收益無效,資產面臨重新測試20,000美元的威脅增加.
1900/1/1 0:00:00加密行業正在發生轉變,各方都在努力使這個市場更具包容性。然而,加密行業遠未實現平等代表,需要通過包容性變革來縮小性別差距.
1900/1/1 0:00:00有投資者在投資者互動平臺提問:請問董秘,貴公司是否有AIGC相關業務?棕櫚股份回復:公司未涉及相關業務。2023年開年以來,這樣的對話常常出現在互聯網上.
1900/1/1 0:00:00DearKuCoinUsers,KuCoinwillopenthetradingservicefortheFET/USDTtradingpairat11:00onFebruary20.
1900/1/1 0:00:00上周比特幣突破2.5萬美元,再次助長了市場的FOMO情緒。在繼AI、元宇宙概念之后,一個全新概念板塊在這兩天成為焦點:ChineseCoin.
1900/1/1 0:00:00原文作者:Jack,ShimaCapital原文編譯:angelilu,ForesightNews讓玩家進入傳統游戲的過程通常很簡單.
1900/1/1 0:00:00