Web3安全插件工作原理及使用建議_ETH:ROX

在DeFi的黑暗森林中，用戶每天面臨著各種安全威脅。據報道每年有超過十億美元的加密資產被騙走。用戶迫切地需要一種錢包衛士來守護資產。上篇文章提到了如?FoxEye這種Web3安全插件，本帖來解釋下它們的工作原理。

當談到反釣魚時，一個常見的安全模型是基于URL的反釣魚，因為大部分攻擊向量都依賴釣魚網站，如：

惡意合約高風險代幣授權漏洞假NFT危險簽名等等面向URL的反釣魚

建立釣魚URL的數據庫，當用戶訪問釣魚網站時進行攔截。

分析師：BTC在29,500美元水平附近保持謹慎很重要:金色財經報道，推特用戶Ali監測BTC鏈上數據顯示，172萬枚BTC最后在29,500美元至30,200美元的價格范圍內波動，代表了一個重要的阻力區域。

該分析師進一步報告稱，根據TD Sequential指標，BTC的日線圖顯示出買入信號。如果每日收盤價超過30,000美元，則可能會確認看漲模式，從而可能上漲至30,400美元至30,600美元的范圍。然而，在29,500美元水平附近保持謹慎很重要。如果該水平有任何疲軟或支撐下降的跡象，則可能會否定買入信號。[2023/7/24 15:54:46]

面向URL的反釣魚只能建立在靜態的URL黑名單之上，這種措施有用但比較老套也不夠全面：

Cymbal推出“人類可讀”的以太坊區塊鏈瀏覽器:金色財經報道，Cymbal宣布推出“人類可讀”的以太坊區塊鏈瀏覽器，并于今日發布了測試版，Cymbal標榜自己是第一個“人類可讀”的以太坊區塊瀏覽器，它采用與標準瀏覽器相同類型的公共區塊鏈數據，并將其轉化為不僅可視化、一目了然且易于理解的摘要，而且還具有社交性。Cymbal通過人工智能工具運行這些數據，生成交易和趨勢的對話摘要，使普通用戶更容易理解。Cymbal首席執行官兼聯合創始人Eric Feng表示，Cymbal正在通過OpenAI的GPT大語言模型運行該工具。[2023/7/20 11:05:49]

不完備性:并不能涵蓋所有的釣魚網站。新生成的釣魚網站是盲區。滯后性:在用戶反饋和黑名單更新之間有一定延遲。局限性:對DNS劫持等其他攻擊手段無效。面向URL的反釣魚不能滿足用戶需求，因為它覆蓋的不是最終的安全敞口：待簽名交易。

推特今年廣告收入或急劇下滑:金色財經報道，馬斯克當地時間周二在Possible營銷大會上露面，向推特的廣告客戶發出最新呼吁，試圖向他們保證“該平臺對他們的品牌來說是一個友好、有價值的平臺”。馬斯克在與NBCUniversal負責全球廣告和合作的董事長Linda Yaccarino的談話中說，他渴望聽到廣告客戶對推特的合理擔憂，但他強調“不會屈服于壓力，做出自己不相信的改變”。[2023/4/19 14:12:46]

面向交易的反釣魚

殊途同歸，所有的釣魚都需要發起交易。如果我們能動態地解析交易或簽名，并攔截有害的那一部分，就可以實現用戶端的安全閉環。

Celsius債權人：法院判決客戶并不對每個債務人實體都有索賠權:3月10日消息，Celsius官方無擔保債權人委員會 (UCC) 發推文稱：“美國聯邦法官Martin Glenn不同意UCC和Celsius的觀點，他同意優先股持有人的觀點，認為客戶并不對每個債務人實體都有索賠權。UCC不同意這一判決，并對判決結果感到失望。UCC正在考慮其選擇，以確保客戶從Celsius中獲得最大的價值。”[2023/3/10 12:54:18]

典型的交易過程

本段包含一小部分代碼，但不理解代碼也可以閱讀。標準的交易過程為：

dApp前端通過?ethereum.request調用?eth_sendTransaction?向錢包發送交易信息。?params?包含所有的交易參數。ethereum.request({

method:‘eth_sendTransaction’,

params:

})

錢包要求用戶對交易簽名。將簽過名的交易發送到以太坊節點上。

Hook交易

Hook的意思是鉤子。在編程中我們把『攔截系統或軟件的函數、信息、事件，并增加或改變其功能』的技術稱為hook。

如果我們能hook這個eth_sendTransaction方法，那么就能在其被發送至用戶錢包簽名前對其進行審查。

在JavaScript中，我們使用基礎對象Proxy來完成hook。

創建一個對?ethereum.request的Proxy。

constproxy=newProxy(window.ethereum.request,this.proxyHandler);

window.ethereum.request=proxy;

其中一個參數?this.proxyHandler?中聲明了監聽到eth_sendTransaction后如何處理，具體細節按下不表，大體為：

攔截交易對象。發送至云端或在本地進行分析。若發現風險行為，警示用戶。顯然，第二步是這一流程里最關鍵和最有技術含量的，包括但不限于：

靜態分析函數selector，交互地址等調用棧的動態分析鏈式合約掃描代幣檢測交易模擬AML庫簽名分析惡意合約庫等等…每一條都可以單獨寫一篇文章，篇幅所限這里就不展開了。

Tips

最后有幾條使用安全插件的幾條建議：

僅從官網鏈接下載。雖然我還沒見到仿冒的Web3安全插件，但我可以說它們一定會來的。僅使用開源的插件。Hook是一種很有威力的技術，它不僅能攔截你的交易，也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。簡單即弱小。不要在一個Chrome窗口里安裝多個安全插件，他們互相之間可能會沖突。如果想體驗多個插件，可以裝一卸一，或使用Chrome的多用戶功能。謹記安全是一種動態追求。風險也在不斷變化之中。雖然安全插件能極大提升你的安全水平，但無法保證100%安全。安裝安全插件的同時也要提升自己的安全意識。

Tags：ETHROXOXYProxytogetherbnb游戲官網CROX價格OXY幣ProxyNode

火必下載