在DeFi的黑暗森林中,用户每天面临着各种安全威胁。据报道每年有超过十亿美元的加密资产被走。用户迫切地需要一种钱包卫士来守护资产。上篇文章提到了如?FoxEye这种Web3安全插件,本帖来解释下它们的工作原理。
当谈到反钓鱼时,一个常见的安全模型是基于URL的反钓鱼,因为大部分攻击向量都依赖钓鱼网站,如:
恶意合约高风险代币授权漏洞假NFT危险签名等等面向URL的反钓鱼
建立钓鱼URL的数据库,当用户访问钓鱼网站时进行拦截。
软银与Symbiotic共同投资1亿美元成立新人工智能公司“Greenbox Systems”:金色财经报道,日本投资巨头软银宣布与Symbiotic 共同投资 1 亿美元成立新人工智能公司“Greenbox Systems”,据悉软银将拥有该公司 65% 的股份,而 Symbotic 则拥有 35% 的股份,此外软银还斥资 75 亿美元购买了 Symbotic 的人工智能驱动系统。(彭博社)[2023/7/25 15:56:55]
面向URL的反钓鱼只能建立在静态的URL黑名单之上,这种措施有用但比较老套也不够全面:
不完备性:并不能涵盖所有的钓鱼网站。新生成的钓鱼网站是盲区。滞后性:在用户反馈和黑名单更新之间有一定延迟。局限性:对DNS劫持等其他攻击手段无效。面向URL的反钓鱼不能满足用户需求,因为它覆盖的不是最终的安全敞口:待签名交易。
知情人士:美国SEC和司法部正对FTX进行调查:11月10日消息,据华尔街日报引援知情人士报道,美国证券交易委员会(SEC)和美国司法部正在对FTX进行调查,这两个执法机构的工作人员周三保持着密切联系。司法部负责起诉欺诈等刑事违规行为,而SEC负责执行民事投资者保护法。此外,州监管机构此前一直在调查FTX以及FTX.US是否在未在联邦监管机构注册的情况下向美国客户提供衍生产品交易服务。
此前消息,币安决定放弃收购FTX。SBF曾告诉投资者,FTX面临高达80亿美元的资金缺口,若无新资金注入FTX将申请破产。[2022/11/10 12:42:04]
面向交易的反钓鱼
殊途同归,所有的钓鱼都需要发起交易。如果我们能动态地解析交易或签名,并拦截有害的那一部分,就可以实现用户端的安全闭环。
知情人士:Core Scientific债券持有人与律师就可能的破产提供建议:金色财经报道,据彭博社援引知情人士消息,Core Scientific(CORZ)的一组可转换债券持有人正在与Paul Hastings的重组律师进行谈判,以就可能的破产提供建议,报道没有具体说明债券持有方的名称。此前报道,该公司上周表示,正在探索筹集资金的战略替代方案,并警告说破产可能是一种选择,它已聘请Weil,Gotshal&Manges LLP作为法律顾问,并聘请了PJT Partners LP作为财务顾问。[2022/11/2 12:06:57]
Polygon生态收益平台GOGOcoin在UST脱钩后无法赔付用户本金:6月18日消息,Polygon生态收益平台GOGOcoin在UST脱钩后因没有履行保险义务而无法赔付用户本金。GOGOcoin在今年4月份获得Shima、MEXC等机构投资,提供USDC存款生息服务。根据协议,GOGOcoin通过Orion Money将USDC转换为UST,并储存至Anchor,以此提供13%的年化利息。
官方宣称,若UST发生脱钩将通过保险协议InsurAce进行理赔。对此,InsurAce表示,保险平台并未做KYC认证,因此不清楚GOGOcoin是否购买过保险。目前,协议TVL已从历史最高的1146万美元下降至118万美元。(吴说区块链)[2022/6/18 4:36:38]
典型的交易过程
本段包含一小部分代码,但不理解代码也可以阅读。标准的交易过程为:
dApp前端通过?ethereum.request调用?eth_sendTransaction?向钱包发送交易信息。?params?包含所有的交易参数。ethereum.request({
method:‘eth_sendTransaction’,
params:
})
钱包要求用户对交易签名。将签过名的交易发送到以太坊节点上。
Hook交易
Hook的意思是钩子。在编程中我们把『拦截系统或软件的函数、信息、事件,并增加或改变其功能』的技术称为hook。
如果我们能hook这个eth_sendTransaction方法,那么就能在其被发送至用户钱包签名前对其进行审查。
在JavaScript中,我们使用基础对象Proxy来完成hook。
创建一个对?ethereum.request的Proxy。
constproxy=newProxy(window.ethereum.request,this.proxyHandler);
window.ethereum.request=proxy;
其中一个参数?this.proxyHandler?中声明了监听到eth_sendTransaction后如何处理,具体细节按下不表,大体为:
拦截交易对象。发送至云端或在本地进行分析。若发现风险行为,警示用户。显然,第二步是这一流程里最关键和最有技术含量的,包括但不限于:
静态分析函数selector,交互地址等调用栈的动态分析链式合约扫描代币检测交易模拟AML库签名分析恶意合约库等等…每一条都可以单独写一篇文章,篇幅所限这里就不展开了。
Tips
最后有几条使用安全插件的几条建议:
仅从官网链接下载。虽然我还没见到仿冒的Web3安全插件,但我可以说它们一定会来的。仅使用开源的插件。Hook是一种很有威力的技术,它不仅能拦截你的交易,也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。简单即弱小。不要在一个Chrome窗口里安装多个安全插件,他们互相之间可能会冲突。如果想体验多个插件,可以装一卸一,或使用Chrome的多用户功能。谨记安全是一种动态追求。风险也在不断变化之中。虽然安全插件能极大提升你的安全水平,但无法保证100%安全。安装安全插件的同时也要提升自己的安全意识。
近日,地址起始为“0x57e”的神秘巨鲸持续做空CRV。巅峰之时,他抵押超过?6360?万枚USDC,借出了9200万枚CRV并持续做空.
1900/1/1 0:00:0011月17日,在TechCrunch于迈阿密举办的以加密为主题的活动中,OpenSea首席执行官DevinFinzer探讨了公司业务与NFT的未来市场.
1900/1/1 0:00:00自8月份以来,推特上的KOL对RealYield的讨论越来越激烈。这一讨论的起源和爆火与GMX在熊市里出色的表现相吻合.
1900/1/1 0:00:00FTX崩盘对Crypto市场造成的重创,不止于二级市场下行,更在于CeFi对行业信心。SpartanCapital前合伙人JasonChoi发推称,机构投资者将在未来几年失去信心,加密监管也将更.
1900/1/1 0:00:00F-NFT是一种NFT,它使人们能够拥有NFT的一部分,以减轻经济负担。这种碎片化的过程允许通过与原始NFT绑定的一组可替代代币来共享NFT的所有权.
1900/1/1 0:00:00随着币安与?FTX?间战局的深入,今日承受重压的FTT在跌破了22美元关口后快速走低,截至14:35左右暂报16.97?USDT,24小时跌幅达23.07%.
1900/1/1 0:00:00