木星链 木星链
Ctrl+D收藏木星链
首页 > 世界币 > 正文

ETH:Web3安全插件工作原理及使用建议

作者:

时间:1900/1/1 0:00:00

在DeFi的黑暗森林中,用户每天面临着各种安全威胁。据报道每年有超过十亿美元的加密资产被走。用户迫切地需要一种钱包卫士来守护资产。上篇文章提到了如?FoxEye这种Web3安全插件,本帖来解释下它们的工作原理。

当谈到反钓鱼时,一个常见的安全模型是基于URL的反钓鱼,因为大部分攻击向量都依赖钓鱼网站,如:

恶意合约高风险代币授权漏洞假NFT危险签名等等面向URL的反钓鱼

建立钓鱼URL的数据库,当用户访问钓鱼网站时进行拦截。

Polygon与科技初创公司Nothing合作推出的区块链手机已启动用户测试:金色财经报道,Polygon 与科技初创公司 Nothing 合作推出的区块链手机 Nothing Phone (1) 已开始启动用户测试,并正式开放测试会员注册,据悉新款手机已搭载基于 Android 13 的最新操作系统 OS 1.5。

此外,Nothing Phone (1) 还推出了 Nothing Community Black Dot NFT,该 NFT 持有者不仅可以访问专属 Discord 社区,而且在测试完成后可以继续保留手机。[2023/1/12 11:07:44]

面向URL的反钓鱼只能建立在静态的URL黑名单之上,这种措施有用但比较老套也不够全面:

澳大利亚金融监管机构将制定稳定币支付框架列为首要任务:12月8日消息,澳大利亚金融监管机构正在“研究选择方案”,将支付稳定币纳入储值设施的监管框架。这种合并将成为该国支付监管框架更广泛改革的一部分。 澳洲央行发布了一份关于稳定币的报告,估了其近期发展、风险和监管前景。尽管对风险给予了高度关注,但该报告非常乐观地承认“稳定币有可能提高一系列支付和其他金融服务的效率和功能。”根

据该报告,澳大利亚监管机构“正在开展重大工作”,以弄清楚如何将稳定币应用到国家支付生态系统中,同时又不会使其面临过度风险。该报告重申,制定稳定币支付框架是CFR近期的首要任务,“鉴于这些安排有可能被广泛用作支付手段和价值储存手段。”[2022/12/8 21:31:32]

不完备性:并不能涵盖所有的钓鱼网站。新生成的钓鱼网站是盲区。滞后性:在用户反馈和黑名单更新之间有一定延迟。局限性:对DNS劫持等其他攻击手段无效。面向URL的反钓鱼不能满足用户需求,因为它覆盖的不是最终的安全敞口:待签名交易。

Cardano创始人将于美国众议员发表加密主题演讲:6月17日消息,Cardano创始人Charles Hoskinson发推表示,将于美国众议院就区块链和加密货币主题发表演讲。[2022/6/17 4:34:30]

面向交易的反钓鱼

殊途同归,所有的钓鱼都需要发起交易。如果我们能动态地解析交易或签名,并拦截有害的那一部分,就可以实现用户端的安全闭环。

Coinbase:SOLANA网络中断:6月2日消息,加密货币交易所Coinbase:SOLANA网络中断。(金十)[2022/6/2 3:57:07]

典型的交易过程

本段包含一小部分代码,但不理解代码也可以阅读。标准的交易过程为:

dApp前端通过?ethereum.request调用?eth_sendTransaction?向钱包发送交易信息。?params?包含所有的交易参数。ethereum.request({

method:‘eth_sendTransaction’,

params:

})

钱包要求用户对交易签名。将签过名的交易发送到以太坊节点上。

Hook交易

Hook的意思是钩子。在编程中我们把『拦截系统或软件的函数、信息、事件,并增加或改变其功能』的技术称为hook。

如果我们能hook这个eth_sendTransaction方法,那么就能在其被发送至用户钱包签名前对其进行审查。

在JavaScript中,我们使用基础对象Proxy来完成hook。

创建一个对?ethereum.request的Proxy。

constproxy=newProxy(window.ethereum.request,this.proxyHandler);

window.ethereum.request=proxy;

其中一个参数?this.proxyHandler?中声明了监听到eth_sendTransaction后如何处理,具体细节按下不表,大体为:

拦截交易对象。发送至云端或在本地进行分析。若发现风险行为,警示用户。显然,第二步是这一流程里最关键和最有技术含量的,包括但不限于:

静态分析函数selector,交互地址等调用栈的动态分析链式合约扫描代币检测交易模拟AML库签名分析恶意合约库等等…每一条都可以单独写一篇文章,篇幅所限这里就不展开了。

Tips

最后有几条使用安全插件的几条建议:

仅从官网链接下载。虽然我还没见到仿冒的Web3安全插件,但我可以说它们一定会来的。仅使用开源的插件。Hook是一种很有威力的技术,它不仅能拦截你的交易,也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。简单即弱小。不要在一个Chrome窗口里安装多个安全插件,他们互相之间可能会冲突。如果想体验多个插件,可以装一卸一,或使用Chrome的多用户功能。谨记安全是一种动态追求。风险也在不断变化之中。虽然安全插件能极大提升你的安全水平,但无法保证100%安全。安装安全插件的同时也要提升自己的安全意识。

标签:ETHPROROXPROXbeth币怎么挖SafuYield ProtocolCroxSwapProximaX

世界币热门资讯
WEB:Web3:价值投资的范式转移

进化是宇宙中最强大的力量,是唯一永恒的东西,是一切的驱动力。———桥水基金雷.达利奥时间拉长,进化才是人类的主旋律。过去,环境的变化是进化的主因。现在,技术的进步扮演着越来越重要的角色.

1900/1/1 0:00:00
LAYER:从共识到Token,浅谈排序器去中心化问题

今天来说说Sequencer去中心化的问题,包括共识与代币。上一贴说过了Sequencer的做恶能力,不是凭空印钱或是提交虚假交易,而是在一个相对短,数据还未提交到L1的窗口期内,拥有隐藏交易,

1900/1/1 0:00:00
NFT:在元宇宙建立业务?按着这些次序来

“元宇宙”一词已迅速成为互联网用户词典的一部分,尽管许多人不同意它最终会实现。尽管如此,由于存在尚未开发的机会,各种业务开始在虚拟空间中涌现.

1900/1/1 0:00:00
ALA:Gala黑客攻击事件的部分真相

Gala黑客攻击事件已经过去一段时间,但是还没有完整详细的报道,今天给大家一个真相。这个推文不为任何人洗白,仅仅发布一个事实.

1900/1/1 0:00:00
以太坊:ZK-EVMs:扩展以太坊区块链

以太坊的合并已经完成了一段时间,以太坊区块链社区正专注于网络扩容的工作,以实现更便宜的交易费用、更快的交易,以及更多的吞吐量.

1900/1/1 0:00:00
WEB:Hooked:“以人为本”的趣头条模式在web3的复刻

应刚才约定,HookedProtocol这个——Web3版趣头条我来聊聊它。会奉上一些思考:为什么说它是web3版趣头条,而不是今日头条.

1900/1/1 0:00:00