比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Web3安全插件工作原理及使用建議_OXY

Author:

Time:1900/1/1 0:00:00

在DeFi的黑暗森林中,用戶每天面臨著各種安全威脅。據報道每年有超過十億美元的加密資產被騙走。用戶迫切地需要一種錢包衛士來守護資產。上篇文章提到了如?FoxEye這種Web3安全插件,本帖來解釋下它們的工作原理。

當談到反釣魚時,一個常見的安全模型是基于URL的反釣魚,因為大部分攻擊向量都依賴釣魚網站,如:

惡意合約高風險代幣授權漏洞假NFT危險簽名等等面向URL的反釣魚

建立釣魚URL的數據庫,當用戶訪問釣魚網站時進行攔截。

日本工程院院士:ChatGPT與元宇宙具有很多共同性,都需要強大的數據、算力和算法支撐:金色財經報道,2月15日至17日,元宇宙產業大會2023春季會在昆山舉行。日本工程院院士、電子科技大學特聘教授任福繼表示,元宇宙是5G通信、人工智能、機器人、互聯網、區塊鏈等眾多先進技術聚合下,形成的新的數字生態。ChatGPT與元宇宙具有很多共同性,都需要強大的數據、算力和算法支撐,人工智能技術有利于元宇宙更好地促進人與人之間、人與機器之間、機器與機器之間的交互。

任福繼認為,元宇宙是“已來的未來”,是一個正在成長和發展的新興技術領域。元宇宙還處于早期發展階段,尚未完全成熟和普及。盡管已經有一些關于元宇宙的初步實現和應用,但仍然面臨許多技術和法律問題,需要更多時間和努力以完全實現和推廣。游戲為元宇宙提供交互內容并實現流量聚合,是元宇宙的入口之一,但元宇宙不等同于游戲,將元宇宙視為超大型3D虛擬游戲是片面的。真正的元宇宙是整合多種新技術而產生的新型虛實相融的數字文明。[2023/2/19 12:16:13]

面向URL的反釣魚只能建立在靜態的URL黑名單之上,這種措施有用但比較老套也不夠全面:

數據:2022年DeFi生態黑客攻擊資金總價值超60億美元:2月5日消息,DefiLlama貢獻者、加密數據分析師Kofi提供的數據顯示,DeFi生態系統在2022年遭遇黑客攻擊激增,被盜資金總價值超過60億美元。

根據Kofi的說法,60億美元代表了加密資產最初被盜時的價值。加密分析師Nelson Ijih在推特上表示,如果包括其他“加密黑客攻擊”,這個數字甚至會更高。(U.Today)[2023/2/6 11:49:05]

不完備性:并不能涵蓋所有的釣魚網站。新生成的釣魚網站是盲區。滯后性:在用戶反饋和黑名單更新之間有一定延遲。局限性:對DNS劫持等其他攻擊手段無效。面向URL的反釣魚不能滿足用戶需求,因為它覆蓋的不是最終的安全敞口:待簽名交易。

mfer #8718以500.22 ETH價格在Blur平臺成交,刷新幣本位交易記錄:金色財經報道,繼mfer #1374昨日以250 ETH價格成交后,mfer #8718今日以500.22 ETH價格在Blur平臺成交,約合59.79萬美元,刷新該NFT系列迄今為止幣本位最高記錄。當前NFT項目mfers地板價達到1.37 ETH,過去24小時上漲10.48%,市值升至5258萬美元。[2022/12/29 22:14:15]

面向交易的反釣魚

殊途同歸,所有的釣魚都需要發起交易。如果我們能動態地解析交易或簽名,并攔截有害的那一部分,就可以實現用戶端的安全閉環。

杭州支持元宇宙、區塊鏈等新技術在動漫游戲和電競領域的集成應用:11月25日消息,據浙江政務服務網,杭州市委辦公廳、市政府辦公廳于近日聯合印發《關于推進新時代杭州動漫游戲和電競產業高質量發展的若干意見》(以下簡稱《意見》)。《意見》指出,堅持融合發展。立足“動漫+”“游戲+”“電競+”“元宇宙+”融合創新,促進杭州市動漫游戲和電競產業與數字經濟、科技、文旅、體育、現代制造、金融等產業融合發展。《意見》還指出,支持新技術應用。支持元宇宙、云計算、人工智能、物聯網、區塊鏈等新技術在動漫游戲和電競產業領域的集成應用和創新,并給予扶持。[2022/11/25 20:45:33]

典型的交易過程

本段包含一小部分代碼,但不理解代碼也可以閱讀。標準的交易過程為:

dApp前端通過?ethereum.request調用?eth_sendTransaction?向錢包發送交易信息。?params?包含所有的交易參數。ethereum.request({

method:‘eth_sendTransaction’,

params:

})

錢包要求用戶對交易簽名。將簽過名的交易發送到以太坊節點上。

Hook交易

Hook的意思是鉤子。在編程中我們把『攔截系統或軟件的函數、信息、事件,并增加或改變其功能』的技術稱為hook。

如果我們能hook這個eth_sendTransaction方法,那么就能在其被發送至用戶錢包簽名前對其進行審查。

在JavaScript中,我們使用基礎對象Proxy來完成hook。

創建一個對?ethereum.request的Proxy。

constproxy=newProxy(window.ethereum.request,this.proxyHandler);

window.ethereum.request=proxy;

其中一個參數?this.proxyHandler?中聲明了監聽到eth_sendTransaction后如何處理,具體細節按下不表,大體為:

攔截交易對象。發送至云端或在本地進行分析。若發現風險行為,警示用戶。顯然,第二步是這一流程里最關鍵和最有技術含量的,包括但不限于:

靜態分析函數selector,交互地址等調用棧的動態分析鏈式合約掃描代幣檢測交易模擬AML庫簽名分析惡意合約庫等等…每一條都可以單獨寫一篇文章,篇幅所限這里就不展開了。

Tips

最后有幾條使用安全插件的幾條建議:

僅從官網鏈接下載。雖然我還沒見到仿冒的Web3安全插件,但我可以說它們一定會來的。僅使用開源的插件。Hook是一種很有威力的技術,它不僅能攔截你的交易,也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。簡單即弱小。不要在一個Chrome窗口里安裝多個安全插件,他們互相之間可能會沖突。如果想體驗多個插件,可以裝一卸一,或使用Chrome的多用戶功能。謹記安全是一種動態追求。風險也在不斷變化之中。雖然安全插件能極大提升你的安全水平,但無法保證100%安全。安裝安全插件的同時也要提升自己的安全意識。

Tags:元宇宙ETHOXYProxy元宇宙概念是什么意思知乎ethm幣會歸零嗎OxyO2ProxyNode

以太坊價格今日行情
深度研究:MEV 的過去、現狀與未來_MEV

導言 19世紀初,邁爾·羅斯柴爾德的五個兒子以法蘭克福為起點進行業務拓展,先后在倫敦、巴黎、維也納和那不勒斯建立了分支。他們建立起信息網絡,使用信鴿、信使和租船在歐洲傳遞信息,速度比任何人都快.

1900/1/1 0:00:00
對話王峰:Web3最精彩的是不確定性,一個互聯網OG的加密之旅_EFI

王峰,一個橫亙WEB2與WEB3的名字,從遠古互聯網時期走來,一路走到WEB3.0前沿,火星財經創始人,共識實驗室創始合伙人,NFT交易平臺Element創始人.

1900/1/1 0:00:00
一夜走紅的鏈游Fusionist:靠積分拉新和藍籌NFT“挖礦”能走多遠_IST

近日ArtGobblers通過獨有的荷蘭式拍賣發行機制,驟增的價格引發了FOMO情緒,雖然其生命周期有待于進一步考察,但其創新的發行模式和Paradigm的背書成功實現了冷啟動.

1900/1/1 0:00:00
V3 LP損失約1億美元,向Uniswap發出預警的帖子到底說了什么?_Uniswap

本來,我只是做了個關于Uniswap的Dune儀表盤,卻在?DeFi?圈內引起了轟動。令人不安的是,它揭露了那些自認為發明了“金融永動機”的人的真面目.

1900/1/1 0:00:00
Deribit 熱錢包被盜 2800 萬美元,錢包安全需要注意什么?_BTC

根據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示,11月2日消息,加密衍生品交易平臺Deribit發布公告稱其熱錢包被盜.

1900/1/1 0:00:00
NFT 游戲新模式遐想:讓“永久性死亡”在加密游戲中成為現實_NFT

讓死亡在元宇宙中成為現實準確點來講,我的意思是,在加密游戲中引入永久性死亡的概念,就像在現實生活中一樣。游戲中的永久性死亡將開啟新的體驗和游戲方式.

1900/1/1 0:00:00
ads