ETH:Web3安全插件工作原理及使用建議

在DeFi的黑暗森林中，用戶每天面臨著各種安全威脅。據報道每年有超過十億美元的加密資產被騙走。用戶迫切地需要一種錢包衛士來守護資產。上篇文章提到了如?FoxEye這種Web3安全插件，本帖來解釋下它們的工作原理。

當談到反釣魚時，一個常見的安全模型是基于URL的反釣魚，因為大部分攻擊向量都依賴釣魚網站，如：

惡意合約高風險代幣授權漏洞假NFT危險簽名等等面向URL的反釣魚

建立釣魚URL的數據庫，當用戶訪問釣魚網站時進行攔截。

Coinbase被客戶起訴，稱交易所拒絕賠償他在黑客攻擊中損失的96000美元:金色財經報道，根據美國加州北區地方法院的一份文件，Coinbase被一名客戶起訴，該客戶稱，在他因黑客攻擊從 Coinbase 錢包中損失 96,000 美元后，加密貨幣交易所拒絕幫助他。法庭文件稱，原告Jared Ferguson的手機于 5 月 9 日失去服務，T-Mobile 技術支持告訴他獲得一張新的 SIM 卡。在他的 iPhone 恢復服務后，Ferguson注意到他的 Coinbase 錢包里的所有錢都被轉走了。

原告立即聯系了 Coinbase，Coinbase 要求他提供有關其設備安全性、最后一次授權交易和未經授權交易清單的信息。僅僅兩周后，他被告知 Coinbase 無法幫助他。[2023/3/8 12:48:01]

面向URL的反釣魚只能建立在靜態的URL黑名單之上，這種措施有用但比較老套也不夠全面：

Tether于波場網絡增發10億枚USDT:10月31日消息，據Whale Alert數據顯示，Stablecoin發行商Tether于北京時間10月31日19:54在波場增發10億枚USDT。Tether首席技術官Paolo Ardoino補充表示，這是一筆已授權但未發行的交易，意味著本次增發將用于下一次發行請求和鏈上交互。[2022/11/1 12:02:38]

不完備性:并不能涵蓋所有的釣魚網站。新生成的釣魚網站是盲區。滯后性:在用戶反饋和黑名單更新之間有一定延遲。局限性:對DNS劫持等其他攻擊手段無效。面向URL的反釣魚不能滿足用戶需求，因為它覆蓋的不是最終的安全敞口：待簽名交易。

菲律賓計劃推出數字身份系統:近日，菲律賓財政部長Benjamin Diokno表示，菲律賓政府正在積極推進菲律賓身份識別系統（PhilSys ID）研發。他指出，隨著《金融產品和服務消費者保護法》正式獲批，菲律賓銀行（BSP）能夠更好地處理網絡安全問題，提升數字金融領域的消費者安全水平。菲律賓政府希望通過這場技術革新，在2023年將其國內一半的零售支付數字化，并將70%的菲律賓成年人納入正規金融服務系統。他還補充道，PhilSys ID系統還將協助菲律賓稅務總局（BIR）和海關局（BOC）實現稅收系統數字化，推動“電子政務”革新。（未央網）[2022/8/4 2:58:28]

面向交易的反釣魚

Ripple將投資1億美元用于碳減排技術以及相關工具開發:5月19日消息，Ripple宣布計劃投資1億美元用于專注于氣候的金融技術和碳減排技術，以實現碳市場的現代化。這筆資金還將繼續支持研發新功能和開發工具，例如實現碳信用代幣化，使其成為基于XRPL的NFT。（Forkast）[2022/5/19 3:28:33]

殊途同歸，所有的釣魚都需要發起交易。如果我們能動態地解析交易或簽名，并攔截有害的那一部分，就可以實現用戶端的安全閉環。

典型的交易過程

本段包含一小部分代碼，但不理解代碼也可以閱讀。標準的交易過程為：

dApp前端通過?ethereum.request調用?eth_sendTransaction?向錢包發送交易信息。?params?包含所有的交易參數。ethereum.request({

method:‘eth_sendTransaction’,

params:

})

錢包要求用戶對交易簽名。將簽過名的交易發送到以太坊節點上。

Hook交易

Hook的意思是鉤子。在編程中我們把『攔截系統或軟件的函數、信息、事件，并增加或改變其功能』的技術稱為hook。

如果我們能hook這個eth_sendTransaction方法，那么就能在其被發送至用戶錢包簽名前對其進行審查。

在JavaScript中，我們使用基礎對象Proxy來完成hook。

創建一個對?ethereum.request的Proxy。

constproxy=newProxy(window.ethereum.request,this.proxyHandler);

window.ethereum.request=proxy;

其中一個參數?this.proxyHandler?中聲明了監聽到eth_sendTransaction后如何處理，具體細節按下不表，大體為：

攔截交易對象。發送至云端或在本地進行分析。若發現風險行為，警示用戶。顯然，第二步是這一流程里最關鍵和最有技術含量的，包括但不限于：

靜態分析函數selector，交互地址等調用棧的動態分析鏈式合約掃描代幣檢測交易模擬AML庫簽名分析惡意合約庫等等…每一條都可以單獨寫一篇文章，篇幅所限這里就不展開了。

Tips

最后有幾條使用安全插件的幾條建議：

僅從官網鏈接下載。雖然我還沒見到仿冒的Web3安全插件，但我可以說它們一定會來的。僅使用開源的插件。Hook是一種很有威力的技術，它不僅能攔截你的交易，也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。簡單即弱小。不要在一個Chrome窗口里安裝多個安全插件，他們互相之間可能會沖突。如果想體驗多個插件，可以裝一卸一，或使用Chrome的多用戶功能。謹記安全是一種動態追求。風險也在不斷變化之中。雖然安全插件能極大提升你的安全水平，但無法保證100%安全。安裝安全插件的同時也要提升自己的安全意識。

Tags：ETHOINETHERETHEETHO價格Recession Coinethercash手機直接玩togetherbnb

MANA