比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Web3安全插件工作原理及使用建議_WEB

Author:

Time:1900/1/1 0:00:00

在DeFi的黑暗森林中,用戶每天面臨著各種安全威脅。據報道每年有超過十億美元的加密資產被騙走。用戶迫切地需要一種錢包衛士來守護資產。上篇文章提到了如?FoxEye這種Web3安全插件,本帖來解釋下它們的工作原理。

當談到反釣魚時,一個常見的安全模型是基于URL的反釣魚,因為大部分攻擊向量都依賴釣魚網站,如:

惡意合約高風險代幣授權漏洞假NFT危險簽名等等面向URL的反釣魚

建立釣魚URL的數據庫,當用戶訪問釣魚網站時進行攔截。

OKX Web3錢包上線限價單功能:5月24日消息,據 OKX 官方消息,OKX Web3 錢包已上線限價功能。用戶使用 OKX Web3 錢包進行幣幣交易時,可以手動設置成交價格,當達到預設價格后交易會自動執行,方便用戶以預期價格成交。同時同筆余額可重復掛單,實現梯度掛單,提交或撤銷限價單時無需支付任何費用,OKX Web3 錢包交易、NFT 市場均 0 手續費。

據悉,該功能支持 Ethereum、OKTC、BNB Chain、Arbitrum 等 8 條鏈,可以一鍵兌換或通過 OKX 轉入 Gas 費。OKX Web3 錢包是異構多鏈錢包,已支持近 60 公鏈,App、插件、網頁三端統一,涵蓋錢包、DEX、賺幣、NFT 市場、DApp 探索 5 大板塊。此外,OKX Web3 錢包還支持 Ordinals 市場、創建 MPC 錢包、兌換 Gas、iCloud/Google Drive 備份助記詞、自定義網絡、連接硬件錢包等便捷功能。[2023/5/24 22:14:56]

面向URL的反釣魚只能建立在靜態的URL黑名單之上,這種措施有用但比較老套也不夠全面:

河南將加快建設省區塊鏈產業園、元宇宙科創產業園:金色財經報道,1月14日,河南省第十四屆人民代表大會開幕,省長王凱作政府工作報告。在2023年重點工作安排中,報告提出,壯大數字經濟核心產業,開展先進計算、網絡安全等重點領域核心技術攻堅,建設國家新一代人工智能創新發展試驗區。加快省區塊鏈產業園、元宇宙科創產業園建設,推動衛星及應用產業發展。新建150個智能工廠和10家智能制造標桿企業,新增上云企業3萬家。[2023/1/14 11:11:52]

不完備性:并不能涵蓋所有的釣魚網站。新生成的釣魚網站是盲區。滯后性:在用戶反饋和黑名單更新之間有一定延遲。局限性:對DNS劫持等其他攻擊手段無效。面向URL的反釣魚不能滿足用戶需求,因為它覆蓋的不是最終的安全敞口:待簽名交易。

StarkNet在Goerli測試網發布Alpha 0.10.1,引入并行交易排序器:10月20日消息,StarkNet在Goerli測試網上發布Alpha 0.10.1版本,引入并行交易排序器,以提高交易處理速度,主網將很快跟進。[2022/10/20 16:31:18]

面向交易的反釣魚

殊途同歸,所有的釣魚都需要發起交易。如果我們能動態地解析交易或簽名,并攔截有害的那一部分,就可以實現用戶端的安全閉環。

Northzone 推出10 億歐元的新基金投資web3 初創公司:金色財經報道,根據今天的公告,總部位于倫敦的風險投資公司 Northzone 推出了 10 億歐元的基金,著眼于投資加密和金融科技初創公司。

該基金此前曾支持過Klarna和Spotify等科技初創公司,以及Magic Labs、Gro Protocol和Sunscreen等web3公司。

Northzone合伙人溫迪·肖·沙戴克(Wendy Xiao Shadeck)將web3描述為該公司的“核心部門”。[2022/9/13 13:26:00]

典型的交易過程

本段包含一小部分代碼,但不理解代碼也可以閱讀。標準的交易過程為:

dApp前端通過?ethereum.request調用?eth_sendTransaction?向錢包發送交易信息。?params?包含所有的交易參數。ethereum.request({

method:‘eth_sendTransaction’,

params:

})

錢包要求用戶對交易簽名。將簽過名的交易發送到以太坊節點上。

Hook交易

Hook的意思是鉤子。在編程中我們把『攔截系統或軟件的函數、信息、事件,并增加或改變其功能』的技術稱為hook。

如果我們能hook這個eth_sendTransaction方法,那么就能在其被發送至用戶錢包簽名前對其進行審查。

在JavaScript中,我們使用基礎對象Proxy來完成hook。

創建一個對?ethereum.request的Proxy。

constproxy=newProxy(window.ethereum.request,this.proxyHandler);

window.ethereum.request=proxy;

其中一個參數?this.proxyHandler?中聲明了監聽到eth_sendTransaction后如何處理,具體細節按下不表,大體為:

攔截交易對象。發送至云端或在本地進行分析。若發現風險行為,警示用戶。顯然,第二步是這一流程里最關鍵和最有技術含量的,包括但不限于:

靜態分析函數selector,交互地址等調用棧的動態分析鏈式合約掃描代幣檢測交易模擬AML庫簽名分析惡意合約庫等等…每一條都可以單獨寫一篇文章,篇幅所限這里就不展開了。

Tips

最后有幾條使用安全插件的幾條建議:

僅從官網鏈接下載。雖然我還沒見到仿冒的Web3安全插件,但我可以說它們一定會來的。僅使用開源的插件。Hook是一種很有威力的技術,它不僅能攔截你的交易,也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。簡單即弱小。不要在一個Chrome窗口里安裝多個安全插件,他們互相之間可能會沖突。如果想體驗多個插件,可以裝一卸一,或使用Chrome的多用戶功能。謹記安全是一種動態追求。風險也在不斷變化之中。雖然安全插件能極大提升你的安全水平,但無法保證100%安全。安裝安全插件的同時也要提升自己的安全意識。

Tags:ETHWEBWEB3PROBETH價格web3域名哪里注冊web3游戲開發kucoinprou交易所

酷幣下載
Chainalysis:FTX 暴雷,投資者是否為了穩定而轉向法幣?_穩定幣

本周是加密歷史上最瘋狂的一周。作全球最大的交易所之一,FTX的代幣FTT在過去兩天暴跌84%,一項待收購的暫定協議于昨天下午也已終止.

1900/1/1 0:00:00
SBF 致股東信:將竭盡所能保護客戶資產和股東利益_MEV

11月9日,加密世界進入新紀元,FTX遭遇流動性困難,CZ表示將收購Ftx.com,站在風口浪尖的SBF給投資者發送了一封信,以下為全文: 嗨,大家好! 很抱歉,過去幾天我一直沒有聯系到你們.

1900/1/1 0:00:00
左轉微信,右轉Web 3:馬斯克會把Twitter變成去中心化社交媒體嗎?_馬斯克

Tesla、SpaceX、1.1億TwitterFollwers的擁有者,——ElonMusk,于正式釋放了他的小藍鳥,以440億美元的代價上演了“英雄救美”的瑪麗蘇故事.

1900/1/1 0:00:00
數據挖掘:幣安/火幣/OKX 營收與用戶_okex

本文主要用到使用的數據收集與分析邏輯:三大所均有收入銷毀平臺幣的行為幣安交易所每季度拿出20%收入來回購BNB并銷毀。火幣交易所每季度拿出20%收入來回購HT并銷毀.

1900/1/1 0:00:00
SBF寫給員工的最后一封信(全文)_RICK

11月10日,加密KOLCobie在其社交平臺發文表示,電報上的匿名用戶向其提供了SBF在FTX內部Slack頻道上發布的一封員工信。Cobie已證實其真實性.

1900/1/1 0:00:00
「FTX帝國崩塌」啟示錄:Crypto市場沒有「逃生通道」,脆弱性早已刻入基因_SBF

覆巢之下豈有完卵。 距Coindesk披露Alameda財務報表、FTX帝國走向崩塌,已過去半個月的時間,不僅SBF本人跌落神壇,由「加密領袖」淪為「行業惡棍」,VC、做市商、借貸、資管等各賽道.

1900/1/1 0:00:00
ads