Web3安全插件工作原理及使用建議_WEB

在DeFi的黑暗森林中，用戶每天面臨著各種安全威脅。據報道每年有超過十億美元的加密資產被騙走。用戶迫切地需要一種錢包衛士來守護資產。上篇文章提到了如?FoxEye這種Web3安全插件，本帖來解釋下它們的工作原理。

當談到反釣魚時，一個常見的安全模型是基于URL的反釣魚，因為大部分攻擊向量都依賴釣魚網站，如：

惡意合約高風險代幣授權漏洞假NFT危險簽名等等面向URL的反釣魚

建立釣魚URL的數據庫，當用戶訪問釣魚網站時進行攔截。

OKX Web3錢包上線限價單功能:5月24日消息，據 OKX 官方消息，OKX Web3 錢包已上線限價功能。用戶使用 OKX Web3 錢包進行幣幣交易時，可以手動設置成交價格，當達到預設價格后交易會自動執行，方便用戶以預期價格成交。同時同筆余額可重復掛單，實現梯度掛單，提交或撤銷限價單時無需支付任何費用，OKX Web3 錢包交易、NFT 市場均 0 手續費。

據悉，該功能支持 Ethereum、OKTC、BNB Chain、Arbitrum 等 8 條鏈，可以一鍵兌換或通過 OKX 轉入 Gas 費。OKX Web3 錢包是異構多鏈錢包，已支持近 60 公鏈，App、插件、網頁三端統一，涵蓋錢包、DEX、賺幣、NFT 市場、DApp 探索 5 大板塊。此外，OKX Web3 錢包還支持 Ordinals 市場、創建 MPC 錢包、兌換 Gas、iCloud/Google Drive 備份助記詞、自定義網絡、連接硬件錢包等便捷功能。[2023/5/24 22:14:56]

面向URL的反釣魚只能建立在靜態的URL黑名單之上，這種措施有用但比較老套也不夠全面：

河南將加快建設省區塊鏈產業園、元宇宙科創產業園:金色財經報道，1月14日，河南省第十四屆人民代表大會開幕，省長王凱作政府工作報告。在2023年重點工作安排中，報告提出，壯大數字經濟核心產業，開展先進計算、網絡安全等重點領域核心技術攻堅，建設國家新一代人工智能創新發展試驗區。加快省區塊鏈產業園、元宇宙科創產業園建設，推動衛星及應用產業發展。新建150個智能工廠和10家智能制造標桿企業，新增上云企業3萬家。[2023/1/14 11:11:52]

不完備性:并不能涵蓋所有的釣魚網站。新生成的釣魚網站是盲區。滯后性:在用戶反饋和黑名單更新之間有一定延遲。局限性:對DNS劫持等其他攻擊手段無效。面向URL的反釣魚不能滿足用戶需求，因為它覆蓋的不是最終的安全敞口：待簽名交易。

StarkNet在Goerli測試網發布Alpha 0.10.1，引入并行交易排序器:10月20日消息，StarkNet在Goerli測試網上發布Alpha 0.10.1版本，引入并行交易排序器，以提高交易處理速度，主網將很快跟進。[2022/10/20 16:31:18]

面向交易的反釣魚

殊途同歸，所有的釣魚都需要發起交易。如果我們能動態地解析交易或簽名，并攔截有害的那一部分，就可以實現用戶端的安全閉環。

Northzone 推出10 億歐元的新基金投資web3 初創公司:金色財經報道，根據今天的公告，總部位于倫敦的風險投資公司 Northzone 推出了 10 億歐元的基金，著眼于投資加密和金融科技初創公司。

該基金此前曾支持過Klarna和Spotify等科技初創公司，以及Magic Labs、Gro Protocol和Sunscreen等web3公司。

Northzone合伙人溫迪·肖·沙戴克(Wendy Xiao Shadeck)將web3描述為該公司的“核心部門”。[2022/9/13 13:26:00]

典型的交易過程

本段包含一小部分代碼，但不理解代碼也可以閱讀。標準的交易過程為：

dApp前端通過?ethereum.request調用?eth_sendTransaction?向錢包發送交易信息。?params?包含所有的交易參數。ethereum.request({

method:‘eth_sendTransaction’,

params:

})

錢包要求用戶對交易簽名。將簽過名的交易發送到以太坊節點上。

Hook交易

Hook的意思是鉤子。在編程中我們把『攔截系統或軟件的函數、信息、事件，并增加或改變其功能』的技術稱為hook。

如果我們能hook這個eth_sendTransaction方法，那么就能在其被發送至用戶錢包簽名前對其進行審查。

在JavaScript中，我們使用基礎對象Proxy來完成hook。

創建一個對?ethereum.request的Proxy。

constproxy=newProxy(window.ethereum.request,this.proxyHandler);

window.ethereum.request=proxy;

其中一個參數?this.proxyHandler?中聲明了監聽到eth_sendTransaction后如何處理，具體細節按下不表，大體為：

攔截交易對象。發送至云端或在本地進行分析。若發現風險行為，警示用戶。顯然，第二步是這一流程里最關鍵和最有技術含量的，包括但不限于：

靜態分析函數selector，交互地址等調用棧的動態分析鏈式合約掃描代幣檢測交易模擬AML庫簽名分析惡意合約庫等等…每一條都可以單獨寫一篇文章，篇幅所限這里就不展開了。

Tips

最后有幾條使用安全插件的幾條建議：

僅從官網鏈接下載。雖然我還沒見到仿冒的Web3安全插件，但我可以說它們一定會來的。僅使用開源的插件。Hook是一種很有威力的技術，它不僅能攔截你的交易，也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。簡單即弱小。不要在一個Chrome窗口里安裝多個安全插件，他們互相之間可能會沖突。如果想體驗多個插件，可以裝一卸一，或使用Chrome的多用戶功能。謹記安全是一種動態追求。風險也在不斷變化之中。雖然安全插件能極大提升你的安全水平，但無法保證100%安全。安裝安全插件的同時也要提升自己的安全意識。

Tags：ETHWEBWEB3PROBETH價格web3域名哪里注冊web3游戲開發kucoinprou交易所

酷幣下載