加密行業的 360 衛士？盤點正在興起的“防釣魚插件”_ETA

1 月 28 日，Azuki 的 Twitter 賬號被黑，導致其粉絲連接到釣魚鏈接，超 122 枚 NFT 被盜，損失超過 78 萬美元。1 月 26 日，NFT 項目 Moonbirds 的創始人 Kevin Rose 錢包被盜，約 40 個 NFT 被盜取，損失超過 200 萬美元，手法還是 NFT “零元購”釣魚，一筆簽名即可被釣走在 OpenSea 授權過的資產。1 月 15 日，@NFT_GOD 因點擊谷歌上的釣魚廣告鏈接，導致所有賬戶（substack twitter 等）、加密貨幣、NFT 被盜。

為何普通用戶和項目方創始人都屢遭釣魚攻擊，市場上有哪些防釣魚瀏覽器插件？本文對 11 款插件進行了盤點。

原文鏈接（可在評論中找到官網推特與其網址）：

https://twitter.com/WutalkWu/status/1618742863428485120?s=19

主流插件（安裝次數大于 10k）

1、PeckShieldAlert：安裝次數 50k+，中英文界面。派盾（PeckShield）團隊產品。

加密行業協會第三季度游說支出顯著增加:金色財經報道，過去幾天向美國國會提交的披露顯示，加密行業協會在第三季度報告了前所未有的游說支出。從歷史上看，區塊鏈協會（Blockchain Association）和數字商會（Chamber of Digital Commerce）一直是與聯邦政府進行聯絡的最大的加密貿易組織，這一趨勢自2021年初以來顯著加速。區塊鏈協會的內部游說支出增長了60%以上，從第一季度的13萬美元增長到第三季度的21萬美元。在同一時間段內，數字商會的游說支出從3萬美元增加到13.6萬美元，增幅超過450%。考慮到與Steptoe&Johnson、Goldstein Policy Solutions和Lincoln Policy Group的合同，區塊鏈協會在第三季度的總游說支出達到了32萬美元。數字商會在第三季度的總游說支出（包括外部合同）為19.1萬美元。[2021/10/28 21:03:49]

網站顯示其惡意地址收錄數量 1,286,478、釣魚網站收錄數量 90,931，且不斷更新中。目前僅支持 ETH 和 BSC 兩條鏈。

金融時報：全球監管壓力下新加坡成為加密行業避風港:英國《金融時報》報道，隨著美國、英國和中國在內的全球監管方收緊監管，新加坡正成為加密行業的避風港。目前，包括以太坊創始人V神和幣安創始人趙長鵬在內的行業大佬均已常駐或移居新加坡。新加坡尚未向加密貨幣公司頒發許可證，但已暫時授予一些大公司豁免權，讓它們能為當地散戶和機構投資者提供服務。該國主權財富基金GIC和國有投資公司淡馬錫已在加密領域投資了數億美元。新加坡金融管理局（MAS）讓外國加密貨幣集團更容易落戶和開展業務。新加坡證券交易所也推出了兩個加密貨幣指數。幣安已獲得豁免權，上月，該公司在領英發布了200多個新加坡招聘崗位。美國交易所Gemini已將新加坡作為亞洲總部，預計到今年底將員工人數增至50人。比特大陸創始人吳忌寒也在新加坡成立了一家初創公司。（金融時報）[2021/7/8 0:35:40]

包含功能：Token 合約監測、錢包授權管理、主動防御詐騙代幣威脅、主動防御釣魚網站威脅、可信域名檢測、惡意插件檢測等防釣魚網站功能。

2、Pocket Universe：安裝次數 20k+、可用于 Firefox 、Microsoft Edge、Google Chrome 等瀏覽器、僅適用于 ETH 主網。聲稱與 Metamask、Coinbase wallets 錢包有合作。

bitFlyer美國合規官：監管機構已在放松監管力度 加密行業將更合規并贏得公眾信任:12月7日消息，bitFlyer交易所美國首席合規官David Zacks在接受采訪時表示，盡管當前跡象似乎表明監管者正在對加密交易所進行嚴格監管，但實際上，這些監管措施已經進行了很多年了，且表明監管機構正在密切關注加密貨幣。而受監管影響，交易者大規模轉移到其他交易所的現象并不會立刻發生，但從中長期來看是有可能的。實際上，監管者的監管措施實際上已經在放松了。而隨著監管機構的監管動作，加密貨幣交易所越來越成熟并努力應對監管挑戰，加密行業實際上將變得更成熟并獲得合法性和更多的公眾信任。（CryptoSlate）[2020/12/7 14:26:42]

包含功能：監測惡意 Seaport 交易、Honeypot NFT 以及釣魚網站。

使用特性：不鏈接錢包，通過模擬交易的方式驗證交易安全，略微影響交易速度（不超過 1 秒）。

3、Revoke.cash：安裝次數 10k+，中英文界面。適用于所有基于 EVM 的鏈，如 Ethereum、Polygon 和 Avalanche、可用于 Firefox 、Microsoft Edge、Google Chrome 等瀏覽器。

觀點：加密行業目前遠落后于黃金和股市:CNBC分析師兼交易員Jon Najarian日前在播客中與摩根溪創始人Anthony Pompliano進行了交談。Jon Najarian承認，雖然他交易數字資產時優先考慮比特幣，但他也交易ETH、一些XLM和LTC。他透露，每個月，他交易的數字資產占其投資組合的5%到10%，其中比特幣是他交易最多的加密貨幣。其次是ETH。Jon Najarian表示，華爾街投資者的進入只對加密貨幣領域有利。

在他看來，加密行業才剛剛開始發展，在這方面遠遠落后于黃金和股市。Jon Najarian還指出，比特幣允許大量資金在世界各地輕松移動，現金和黃金并非那么容易運輸。根據Jon Najarian的說法，來自華爾街的投資者正在悄悄地積累比特幣，而沒有透露這個事實，以防止價格上漲，因為他們想徹底擴大他們的比特幣頭寸。（U.Today）[2020/7/11]

包含功能：對非白名單 NFT 交易網站、釣魚網站的交易會彈出警告；可撤銷授權。

4、Fire：安裝次數 10k+、適用于以太坊主網和 Polygon。與 MetaMask 和 Coinbase 錢包兼容，可適用任何以太坊錢包。

分析 | Ran NeuNer推特淺談六點加密行業現實:CNBC主持人Ran NeuNer今日發推稱，不受歡迎的現實：1.在區塊鏈行業輕松實現100倍回報的日子已經過去了；2.不會再出現山寨季；3. 99％的山寨幣會消亡；4. 現在獲得實際應用比技術更重要；5. 80％的交易所將消失；6. 全面從事加密行業的人數顯著下降。[2019/10/7]

工作原理：通過模擬用戶受影響的 ERC-20、ERC-721 和 ERC-1155 交易，監測掃描交易是否安全。

小眾插件（安裝次數小于 10k）

1、Wallet Guard：安裝次數 6k+，Binance Labs 孵化。

功能：阻止訪問近期創建且信任度低的網站、自動禁用惡意拓展應用程序、監測并阻止訪問釣魚網站。

2、MetaDock：安裝次數 3k+，代碼開源，安全公司 BlockSec 團隊產品。

功能：僅支持 BTC、ETH、BSC、Polygon、Fantom、Arbitrum、Cronos、Avalanche、Optimism、Moonbeam 公鏈以及 Opensea。可查看地址資金流向、監測 NFT 藏品風險、與 Debank、NFTGo 等產品交互。

3、Blockem：安裝次數 930

功能：AI算法模擬交易以及地址打分

4、Metashield：安裝次數 864、代碼開源、由 BuidlerDAO 孵化的第一個項目。

工作原理：識別 approve 和 send 交易，并通過黑白名單的方式以及檢查被授權地址的狀態，幫助用戶進行預警和攔截釣魚網站。無需連接錢包、無需授權。

5、Stelo：安裝次數 628、代碼開源、適用于任何基于 Chromium 的瀏覽器。

工作原理：Stelo 通過包裝 Metamask 注入頁面的 window.ethereum Javascript 對象來暫停發送到 Metamask 的交易請求。一旦用戶在 Stelo 中批準交易，它就會恢復 Metamask 請求，如果用戶拒絕它，它會取消請求。

6、Scam Sniffer：安裝次數 615、代碼開源。

包含功能：Detector API（監測轉移用戶資產、請求授權等惡意行為）、模擬交易等。

7、Beosin Alert：安裝次數 291，由區塊鏈安全審計公司 Beosin 團隊開發。

盤點小結

慢霧創始人余弦表示其重點關注了 Scam Sniffer、Revoke.cash、Wallet Guard、Pocket Universe、Fire。

使用人數最多、功能最全的是 PeckShieldAlert。但就安裝次數而言，其與 MetaMask 10M+、Phantom 2M+ 相比，也幾乎是忽略不記。此外該領域未見融資信息，說明無論從用戶還是投資人的角度而言都未對其真正重視。

慢霧團隊成員 @IM_23pds 觀點：

區塊鏈行業被釣魚攻擊主要分布在“域名、簽名”兩點，其中 90% 的 NFT 釣魚都跟虛假域名有關。如果用戶打開一個釣魚頁面，相關的插件、瀏覽器就能直接提示風險，這樣就沒有了后面騙簽名的步驟，可以把風險阻斷在第一步。

此前 Web2 世界中的 360 時代就解決了當時小白用戶被病攻擊的困擾，但它也并非解決了木馬病問題。病的查殺和病的免殺(一種專業的躲避殺軟件查殺技術，可以自行 Google 了解) 永遠存在時間差，如何做到時間差更小，樣本數更快、識別更精準就決定了殺軟件的厲害程度。

同樣，在區塊鏈、NFT 行業，如何能第一步識別、提醒到釣魚站點的實時情況，在用戶端反饋出速度和識別度也決定了一款防釣魚插件的能力；而如果相關產品沒有在第一步識別到這些釣魚域名，用戶丟幣的風險就大大增加。

此前如果錢包有騙簽識別，能夠不錯的展示出用戶要簽名的詳細信息，如授權什么、多少、給誰等人類可讀數據，也可一定程度上避免被盜。但當前 MetaMask 雖有 80% 的市場占有率，但是解析實在夠嗆。

雖然也有一些產品解析做的不錯，但仍無法防丟幣丟 NFT。任何的產品、文章、提醒都是輔助，建立自己的安全意識，可能才可以一直立于不丟幣、不丟 NFT 之地。個人安全意識，這才是王者。

區塊鏈研究員 @tmel0211 觀點：MetaMask 等自托管錢包的技術邏輯是幫助用戶安全保管本地私鑰，處理用戶交易簽名，提供 gateway 連接各大區塊鏈主網，便捷展開 DeFi 等智能合約交互等。理論上講，在不影響錢包轉賬交互功能的前提下，嵌入任何優化體驗的插件服務都是可行的。防釣魚地址篩查只能算其中一種剛性需求。

不過，目前主流錢包產品功能都很簡潔，在服務優化上很克制。原因如下：

1、受客戶端信息有效載荷影響，移動端交互相比瀏覽器插件更需要簡潔；2、受去中心化共識的影響，釣魚網站、黑名單庫等需要中心化的運維支撐，會產生共識側的非議；3、受商業化傾向影響，服務夾層雖能優化體驗卻很難商業變現。

目前市場主流瀏覽器安全插件，大多為第三方安全數據公司提供：體驗都不錯，但普及度還不夠。它們都有一個夢想，成為守護 web3 的 360 安全衛士，雖然道阻且長：

1、提供插件服務的插件本身也存在潛在的安全風險可能，其信任共識需要時間積累；2、常在 DEX 環境下交易或 Mint NFT 的活躍用戶現階段安全意識尚且薄弱，用戶習慣待養成；3、釣魚網站更新、黑名單地址庫等運維挑戰大；

在我看來，錢包敘事應該會趨向于垂直細分化。1、面向極客的極簡錢包；2、面向小白的安全交互防釣魚錢包；3、面向機構的可定制化錢包；4、MPC 錢包；5、智能合約錢包等等。

但無論怎樣，這和安全插件服務市場并不沖突，現階段共存、互補，相信一款優秀的瀏覽器安全插件終將成為錢包一樣的標配。

金色早8點

金色財經

Odaily星球日報

歐科云鏈

澎湃新聞

Arcane Labs

深潮TechFlow

MarsBit

BTCStudy

鏈得得

Tags：NFTETAMETMETAMOONCAT Vault (NFTX)MetamallMetaVPadMetaElfLand

FIL