在DeFi的黑暗森林中,用户每天面临着各种安全威胁。据报道每年有超过十亿美元的加密资产被走。用户迫切地需要一种钱包卫士来守护资产。上篇文章提到了如?FoxEye这种Web3安全插件,本帖来解释下它们的工作原理。
当谈到反钓鱼时,一个常见的安全模型是基于URL的反钓鱼,因为大部分攻击向量都依赖钓鱼网站,如:
恶意合约高风险代币授权漏洞假NFT危险签名等等面向URL的反钓鱼
建立钓鱼URL的数据库,当用户访问钓鱼网站时进行拦截。
美国总统拜登签署债务上限法案,暂缓债务上限生效至2025年初:6月5日消息,美国总统拜登于6月3日在白宫签署关于联邦政府债务上限和预算的法案,以避免美国政府债务违约。3日时值美东时间的周六,这距离美财长耶伦警告的美国“极有可能”发生债务违约的时限只剩下一天。
这项《2023年财政责任法案》规定,暂缓债务上限生效至2025年初,并对2024财年和2025财年的联邦政府开支作出限制。该法案还规定了收回部分未支配的预算拨款、对某些联邦福利项目实施更严格限制等内容。
该法案生效意味着历时近半年的美国政府债务违约“危机”暂告解除。美国联邦政府债务规模在1月19日达到31.4万亿美元的法定债务上限。围绕债务上限问题的谈判,也是美国国会共和党人重掌众议院后,与拜登政府在重大立法事项上的首次正面“交锋”。[2023/6/5 21:16:05]
面向URL的反钓鱼只能建立在静态的URL黑名单之上,这种措施有用但比较老套也不够全面:
LayerZero Labs:存在硅谷银行清算账户中的金额可以忽略不计:金色财经报道,据全链互操作性协议LayerZero开发公司Layerzero Labs首席执行官兼联合创始人Bryan Pellegrino在社交媒体确认,该项目在硅谷银行的敞口“实际上为0”,而且存放在硅谷银行清算账户中的金额几乎可以忽略不计(大约只占到LayerZero总流动资金的0.3%),大部分资金规模也都在美国联邦存款保险公司(FDIC)的限额范围之内,所以一切都还好。[2023/3/11 12:56:07]
不完备性:并不能涵盖所有的钓鱼网站。新生成的钓鱼网站是盲区。滞后性:在用户反馈和黑名单更新之间有一定延迟。局限性:对DNS劫持等其他攻击手段无效。面向URL的反钓鱼不能满足用户需求,因为它覆盖的不是最终的安全敞口:待签名交易。
Coinbase:购买加密货币用于公司运营等目的,并不认为其是自营交易:9月22日消息,针对华尔街日报的报道,Coinbase回应表示,Coinbase不经营自营交易业务或充当做市商。Institutional Prime平台是代理交易模式,仅代表客户行事。Coinbase会不时购买加密货币作为本金,包括用于公司资金和运营目的。Coinbase称不认为这是自营交易,因为其目的不是为了让Coinbase从正在交易的加密货币的短期价值增长中获益。
此外,随着越来越多的机构对投资加密货币感兴趣,Coinbase正在推出新的解决方案来提供帮助。Coinbase打算为机构客户服务的一种方式是通过一个名为Coinbase Risk Solutions (CRS) 的新成立的小型团队。CRS为寻求接触加密资产类别的成熟机构投资者提供解决方案。CRS的目标是将机构对Web3的参与扩展到HODLing之外。[2022/9/22 7:14:37]
面向交易的反钓鱼
Voyager拥有的加密资产及现金约16.5亿美元,对三箭资本的索赔超6.5亿美元:7月4日消息,Voyager官方发推文披露其资金状况,目前该平台上拥有大约13亿美元的加密资产,以及对三箭资本超过6.5亿美元的索赔。Voyager还在大都会商业银行拥有超过3.5亿美元的现金。
此前消息,6月27日,Voyager Digital宣布已向三箭资本,发出违约通知,原因是未能就其先前披露的15,250比特币和3.5亿美元美元的贷款支付必要的款项。Voyager打算从三箭资本中恢复,并正在与公司的顾问讨论可用的法律补救措施。7月2日,Voyager Digital暂停交易和存取款及代币奖励。[2022/7/4 1:48:55]
殊途同归,所有的钓鱼都需要发起交易。如果我们能动态地解析交易或签名,并拦截有害的那一部分,就可以实现用户端的安全闭环。
典型的交易过程
本段包含一小部分代码,但不理解代码也可以阅读。标准的交易过程为:
dApp前端通过?ethereum.request调用?eth_sendTransaction?向钱包发送交易信息。?params?包含所有的交易参数。ethereum.request({
method:‘eth_sendTransaction’,
params:
})
钱包要求用户对交易签名。将签过名的交易发送到以太坊节点上。
Hook交易
Hook的意思是钩子。在编程中我们把『拦截系统或软件的函数、信息、事件,并增加或改变其功能』的技术称为hook。
如果我们能hook这个eth_sendTransaction方法,那么就能在其被发送至用户钱包签名前对其进行审查。
在JavaScript中,我们使用基础对象Proxy来完成hook。
创建一个对?ethereum.request的Proxy。
constproxy=newProxy(window.ethereum.request,this.proxyHandler);
window.ethereum.request=proxy;
其中一个参数?this.proxyHandler?中声明了监听到eth_sendTransaction后如何处理,具体细节按下不表,大体为:
拦截交易对象。发送至云端或在本地进行分析。若发现风险行为,警示用户。显然,第二步是这一流程里最关键和最有技术含量的,包括但不限于:
静态分析函数selector,交互地址等调用栈的动态分析链式合约扫描代币检测交易模拟AML库签名分析恶意合约库等等…每一条都可以单独写一篇文章,篇幅所限这里就不展开了。
Tips
最后有几条使用安全插件的几条建议:
仅从官网链接下载。虽然我还没见到仿冒的Web3安全插件,但我可以说它们一定会来的。仅使用开源的插件。Hook是一种很有威力的技术,它不仅能拦截你的交易,也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。简单即弱小。不要在一个Chrome窗口里安装多个安全插件,他们互相之间可能会冲突。如果想体验多个插件,可以装一卸一,或使用Chrome的多用户功能。谨记安全是一种动态追求。风险也在不断变化之中。虽然安全插件能极大提升你的安全水平,但无法保证100%安全。安装安全插件的同时也要提升自己的安全意识。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。