在DeFi的黑暗森林中,用戶每天面臨著各種安全威脅。據報道每年有超過十億美元的加密資產被騙走。用戶迫切地需要一種錢包衛士來守護資產。上篇文章提到了如?FoxEye這種Web3安全插件,本帖來解釋下它們的工作原理。
當談到反釣魚時,一個常見的安全模型是基于URL的反釣魚,因為大部分攻擊向量都依賴釣魚網站,如:
惡意合約高風險代幣授權漏洞假NFT危險簽名等等面向URL的反釣魚
建立釣魚URL的數據庫,當用戶訪問釣魚網站時進行攔截。
Coinbase被客戶起訴,稱交易所拒絕賠償他在黑客攻擊中損失的96000美元:金色財經報道,根據美國加州北區地方法院的一份文件,Coinbase被一名客戶起訴,該客戶稱,在他因黑客攻擊從 Coinbase 錢包中損失 96,000 美元后,加密貨幣交易所拒絕幫助他。法庭文件稱,原告Jared Ferguson的手機于 5 月 9 日失去服務,T-Mobile 技術支持告訴他獲得一張新的 SIM 卡。在他的 iPhone 恢復服務后,Ferguson注意到他的 Coinbase 錢包里的所有錢都被轉走了。
原告立即聯系了 Coinbase,Coinbase 要求他提供有關其設備安全性、最后一次授權交易和未經授權交易清單的信息。僅僅兩周后,他被告知 Coinbase 無法幫助他。[2023/3/8 12:48:01]
面向URL的反釣魚只能建立在靜態的URL黑名單之上,這種措施有用但比較老套也不夠全面:
Tether于波場網絡增發10億枚USDT:10月31日消息,據Whale Alert數據顯示,Stablecoin發行商Tether于北京時間10月31日19:54在波場增發10億枚USDT。Tether首席技術官Paolo Ardoino補充表示,這是一筆已授權但未發行的交易,意味著本次增發將用于下一次發行請求和鏈上交互。[2022/11/1 12:02:38]
不完備性:并不能涵蓋所有的釣魚網站。新生成的釣魚網站是盲區。滯后性:在用戶反饋和黑名單更新之間有一定延遲。局限性:對DNS劫持等其他攻擊手段無效。面向URL的反釣魚不能滿足用戶需求,因為它覆蓋的不是最終的安全敞口:待簽名交易。
菲律賓計劃推出數字身份系統:近日,菲律賓財政部長Benjamin Diokno表示,菲律賓政府正在積極推進菲律賓身份識別系統(PhilSys ID)研發。他指出,隨著《金融產品和服務消費者保護法》正式獲批,菲律賓銀行(BSP)能夠更好地處理網絡安全問題,提升數字金融領域的消費者安全水平。菲律賓政府希望通過這場技術革新,在2023年將其國內一半的零售支付數字化,并將70%的菲律賓成年人納入正規金融服務系統。他還補充道,PhilSys ID系統還將協助菲律賓稅務總局(BIR)和海關局(BOC)實現稅收系統數字化,推動“電子政務”革新。(未央網)[2022/8/4 2:58:28]
面向交易的反釣魚
Ripple將投資1億美元用于碳減排技術以及相關工具開發:5月19日消息,Ripple宣布計劃投資1億美元用于專注于氣候的金融技術和碳減排技術,以實現碳市場的現代化。這筆資金還將繼續支持研發新功能和開發工具,例如實現碳信用代幣化,使其成為基于XRPL的NFT。(Forkast)[2022/5/19 3:28:33]
殊途同歸,所有的釣魚都需要發起交易。如果我們能動態地解析交易或簽名,并攔截有害的那一部分,就可以實現用戶端的安全閉環。
典型的交易過程
本段包含一小部分代碼,但不理解代碼也可以閱讀。標準的交易過程為:
dApp前端通過?ethereum.request調用?eth_sendTransaction?向錢包發送交易信息。?params?包含所有的交易參數。ethereum.request({
method:‘eth_sendTransaction’,
params:
})
錢包要求用戶對交易簽名。將簽過名的交易發送到以太坊節點上。
Hook交易
Hook的意思是鉤子。在編程中我們把『攔截系統或軟件的函數、信息、事件,并增加或改變其功能』的技術稱為hook。
如果我們能hook這個eth_sendTransaction方法,那么就能在其被發送至用戶錢包簽名前對其進行審查。
在JavaScript中,我們使用基礎對象Proxy來完成hook。
創建一個對?ethereum.request的Proxy。
constproxy=newProxy(window.ethereum.request,this.proxyHandler);
window.ethereum.request=proxy;
其中一個參數?this.proxyHandler?中聲明了監聽到eth_sendTransaction后如何處理,具體細節按下不表,大體為:
攔截交易對象。發送至云端或在本地進行分析。若發現風險行為,警示用戶。顯然,第二步是這一流程里最關鍵和最有技術含量的,包括但不限于:
靜態分析函數selector,交互地址等調用棧的動態分析鏈式合約掃描代幣檢測交易模擬AML庫簽名分析惡意合約庫等等…每一條都可以單獨寫一篇文章,篇幅所限這里就不展開了。
Tips
最后有幾條使用安全插件的幾條建議:
僅從官網鏈接下載。雖然我還沒見到仿冒的Web3安全插件,但我可以說它們一定會來的。僅使用開源的插件。Hook是一種很有威力的技術,它不僅能攔截你的交易,也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。簡單即弱小。不要在一個Chrome窗口里安裝多個安全插件,他們互相之間可能會沖突。如果想體驗多個插件,可以裝一卸一,或使用Chrome的多用戶功能。謹記安全是一種動態追求。風險也在不斷變化之中。雖然安全插件能極大提升你的安全水平,但無法保證100%安全。安裝安全插件的同時也要提升自己的安全意識。
Tags:ETHOINETHERETHEETHO價格Recession Coinethercash手機直接玩togetherbnb
加密貨幣交易所是幣圈內的兵家必爭之地,交易所作為產業內的頂級生態,對資源、資金、流量、規則幾乎擁有著絕對的話語權.
1900/1/1 0:00:00撰寫:milesjennings,a16z加密總法律顧問本周的事件又會讓更多的人將Web3當作是"狂野的西部".
1900/1/1 0:00:00要點 與第二季度相比,dYdX的使用量中位數有所提高,而總量下降主要是由于第三季度的波動事件減少。盡管用戶和交易量活動健康,但存款人繼續從dYdX提取資金.
1900/1/1 0:00:00隨著去年加密貨幣價格的飆升,沒有任何投資者比AndreessenHorowitz對該行業投入更多.
1900/1/1 0:00:00Rugpulls是加密貨幣行業里最常見的騙局之一,坦率地說,雖然不少已經被曝光,直到應該還有許多沒有被發現.
1900/1/1 0:00:00FTX體量龐大,市場推測其主要是受Alameda拖累,而Alameda則主要是因為Luna事件影響.
1900/1/1 0:00:00