火星链 火星链
Ctrl+D收藏火星链

ETH:Web3安全插件工作原理及使用建议

作者:

时间:1900/1/1 0:00:00

在DeFi的黑暗森林中,用户每天面临着各种安全威胁。据报道每年有超过十亿美元的加密资产被走。用户迫切地需要一种钱包卫士来守护资产。上篇文章提到了如?FoxEye这种Web3安全插件,本帖来解释下它们的工作原理。

当谈到反钓鱼时,一个常见的安全模型是基于URL的反钓鱼,因为大部分攻击向量都依赖钓鱼网站,如:

恶意合约高风险代币授权漏洞假NFT危险签名等等面向URL的反钓鱼

建立钓鱼URL的数据库,当用户访问钓鱼网站时进行拦截。

Nayms区块链保险平台在以太坊上线:金色财经报道,受百慕大监管的数字资产保险公司 Nayms 的区块链保险平台已在以太坊区块链上线,该公司为保险合约提供了一个市场,通过从资本市场或加密市场筹集资金,让保险公司或经纪人可以在链上承保,参与的保险公司可以创建基于代币的保险单元或保险隔离账户,Nayms 在今年四月以 800 万美元估值完成了一轮融资,但具体融资金额未对外披露。(ledgerinsights)[2023/6/9 21:24:59]

面向URL的反钓鱼只能建立在静态的URL黑名单之上,这种措施有用但比较老套也不够全面:

不完备性:并不能涵盖所有的钓鱼网站。新生成的钓鱼网站是盲区。滞后性:在用户反馈和黑名单更新之间有一定延迟。局限性:对DNS劫持等其他攻击手段无效。面向URL的反钓鱼不能满足用户需求,因为它覆盖的不是最终的安全敞口:待签名交易。

26000000枚USDC从FTX转移到未知钱包:金色财经报道,WhaleAlert监测数据显示,26,000,000枚USDC(26,000,000美元)从FTX转移到未知钱包。[2022/10/14 14:27:24]

面向交易的反钓鱼

殊途同归,所有的钓鱼都需要发起交易。如果我们能动态地解析交易或签名,并拦截有害的那一部分,就可以实现用户端的安全闭环。

分析师:在美联储达到通胀目标之前,比特币面临更大抛售压力:金色财经报道,加密货币分析师Nicholas Merten表示,美联储保持鹰派态度,比特币(BTC)的价格可能会下跌。Merten认为,在美联储实现控制通胀的目标之前,比特币可能会面临更大的抛售压力。

Merten说,美联储的路线是正确的。它需要在冷却通胀方面占据主导地位。因为这些原则在这里起作用,即提高利率和通过削减资产负债表进行量化紧缩,这就是比特币下跌的原因。在将通胀控制在2%的目标达到之前,他们不会开始转向。(The Daily Hodl)[2022/10/9 12:49:57]

典型的交易过程

本段包含一小部分代码,但不理解代码也可以阅读。标准的交易过程为:

今日恐慌与贪婪指数为30,恐慌程度上升:金色财经消息,今日恐慌与贪婪指数为30(昨日为34),恐慌程度较昨日上升,等级仍为恐慌。

注:恐慌指数阈值为0-100,包含指标:波动性(25%)+市场交易量(25%)+社交媒体热度(15%)+市场调查(15%)+比特币在整个市场中的比例(10%)+谷歌热词分析(10%)。[2022/8/4 2:58:35]

dApp前端通过?ethereum.request调用?eth_sendTransaction?向钱包发送交易信息。?params?包含所有的交易参数。ethereum.request({

method:‘eth_sendTransaction’,

params:

})

钱包要求用户对交易签名。将签过名的交易发送到以太坊节点上。

Hook交易

Hook的意思是钩子。在编程中我们把『拦截系统或软件的函数、信息、事件,并增加或改变其功能』的技术称为hook。

如果我们能hook这个eth_sendTransaction方法,那么就能在其被发送至用户钱包签名前对其进行审查。

在JavaScript中,我们使用基础对象Proxy来完成hook。

创建一个对?ethereum.request的Proxy。

constproxy=newProxy(window.ethereum.request,this.proxyHandler);

window.ethereum.request=proxy;

其中一个参数?this.proxyHandler?中声明了监听到eth_sendTransaction后如何处理,具体细节按下不表,大体为:

拦截交易对象。发送至云端或在本地进行分析。若发现风险行为,警示用户。显然,第二步是这一流程里最关键和最有技术含量的,包括但不限于:

静态分析函数selector,交互地址等调用栈的动态分析链式合约扫描代币检测交易模拟AML库签名分析恶意合约库等等…每一条都可以单独写一篇文章,篇幅所限这里就不展开了。

Tips

最后有几条使用安全插件的几条建议:

仅从官网链接下载。虽然我还没见到仿冒的Web3安全插件,但我可以说它们一定会来的。仅使用开源的插件。Hook是一种很有威力的技术,它不仅能拦截你的交易,也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。简单即弱小。不要在一个Chrome窗口里安装多个安全插件,他们互相之间可能会冲突。如果想体验多个插件,可以装一卸一,或使用Chrome的多用户功能。谨记安全是一种动态追求。风险也在不断变化之中。虽然安全插件能极大提升你的安全水平,但无法保证100%安全。安装安全插件的同时也要提升自己的安全意识。

标签:ETHProxyOXYROXYFTetherProxyNodeOxyDevZEROX

狗狗币最新价格热门资讯
区块链:Web3暗处的去中心化人工智能

De-AI会成为像ElonMusk所预言的那样统治我们生活的人工智能机器人独裁者,还是会成为丰富且不那么物质化的未来的生产工具?由加密货币的间歇性牛市及其各自的区块链推动的去中心化点对点技术的改.

1900/1/1 0:00:00
DEXA:黑暗三角人格——SBF、Justin Sun

从历史上看,我们看到所有空间的邪恶领袖都是以黑暗三角人格中的1或3个特征崛起的,导致了灾难性的后果。社交媒体日益增长的影响力帮助他们更具性和操纵性.

1900/1/1 0:00:00
WIT:速览5个不同类型的KYC解决方案

随着区块链技术越来越重要,许多人都在寻找参与加密世界的方法。加密货币和区块链项目最重要的方面之一是KYC/AML。如果没有适当的KYC/AML程序,项目很可能就会被认为是欺诈和非法活动.

1900/1/1 0:00:00
HUM:对话隐私领跑者 Manta Network,零知识证明的现状与未来

MantaNetwork团队最近有点忙。在过去的9-11月,MantaNetwork团队的身影活跃在世界的各个角落.

1900/1/1 0:00:00
RARE:NFT+体育:卡塔尔世界杯有哪些NFT看点!

有人说没有冷门的世界杯不是真正的世界杯!11月22日,卡塔尔世界杯小组赛C组第1轮比赛中,沙特爆冷2:1逆转阿根廷队,成了今年世界杯的第一个冷门.

1900/1/1 0:00:00
元宇宙:巴比特 | 元宇宙每日必读:工业元宇宙究竟是什么,为何它值得被追捧?

摘要:“异军突起”的工业元宇宙究竟是什么?现在发展到什么阶段了?随着技术发展,它又将被应用在哪些场景?哪些企业在关注工业元宇宙?图片来源:由无界版图AI创作工具生成.

1900/1/1 0:00:00