1月28日,Azuki的Twitter賬號被黑,導致其粉絲連接到釣魚鏈接,超122枚NFT被盜,損失超過78萬美元。1月26日,NFT項目Moonbirds的創始人KevinRose錢包被盜,約40個NFT被盜取,損失超過200萬美元,手法還是NFT“零元購”釣魚,一筆簽名即可被釣走在OpenSea授權過的資產。1月15日,@NFT_GOD因點擊谷歌上的釣魚廣告鏈接,導致所有賬戶、加密貨幣、NFT被盜。
為何普通用戶和項目方創始人都屢遭釣魚攻擊,市場上有哪些防釣魚瀏覽器插件?本文對11款插件進行了盤點。
原文鏈接:
https://twitter.com/WutalkWu/status/1618742863428485120?s=19
主流插件
1、PeckShieldAlert:安裝次數50k+,中英文界面。派盾團隊產品。
網站顯示其惡意地址收錄數量1,286,478、釣魚網站收錄數量90,931,且不斷更新中。目前僅支持ETH和BSC兩條鏈。
Jack Dorsey周內已取關6位支持Web 3的加密行業和傳統VC行業“大咖”:12 月 23 日,本周 Jack Dorsey 總計取消對六位支持 Web 3 的加密行業和傳統 VC 行業大咖的關注,分別是:The Intercept 專欄作者 Sam Biddle、加密媒體及分析公司 The Block 創始人 Mike Dudas、Coinbase 創始人兼首席執行官 Brain Armstrong、a16z 創始人 Marc Andreessen、雙子星Gemini 聯合創始人泰勒·文克萊沃斯 (Tyler Winklevoss)、以及 Salesforce 高級架構師兼技術員工主管 Tyler Roach。
同時,Jack Dorsey 新關注了一些支持比特幣的加密社區用戶,比如比特幣最大主義者Mark Moss、Wired 專欄作家 Siva Vaidhyanathan、Hexa 錢包、比特幣博客 Fountain、比特幣閃電網絡接口服務 Breez 等。[2021/12/23 7:59:47]
包含功能:Token合約監測、錢包授權管理、主動防御詐騙代幣威脅、主動防御釣魚網站威脅、可信域名檢測、惡意插件檢測等防釣魚網站功能。
動態 | 加密行業面臨的最大風險是技術失敗:據AMBcrypto報道,根據幣安研究院最近的一項研究(該研究基于2019年5月面向加密貨幣領域機構和VIP客戶的民意調查),技術是該行業的主要關注點。該行業排名前五的風險分別是:技術失敗(黑客攻擊等)、全球&當地監管變化(如中國、美國、歐洲等)、Tether法律問題、證券測試(豪威測試)以及隱私風險,其中“技術失敗”居首位。 該調查還列出了8項加密貨幣行業的潛在增長驅動力因素,分別是:全球&當地監管變化、ETF、傳統經紀商提供加密服務(如e-trade,富達)、期權合同的發展、實物結算期貨合約(如Bakkt)、Facebook的穩定幣、三星動向(即加密貨幣和加密錢包手機)、摩根大通的穩定幣。值得注意的是,監管問題成為重中之重,而Facebook等大公司的相關舉措則居末三位。[2019/6/23]
2、PocketUniverse:安裝次數20k+、可用于Firefox、MicrosoftEdge、GoogleChrome等瀏覽器、僅適用于ETH主網。聲稱與Metamask、Coinbasewallets錢包有合作。
動態 | STOs可能會成為韓國加密行業未來發展的另一方向:據Bitcoin Exchange Guide消息,近日,CP research(Chain Partners)和Coinone research Center發布STO相關研究稱,STOs可能會成為韓國加密行業未來發展的另一方向。CP research稱,STO為那些難以變現的資產提供了機會,其基礎設施也已為其在2019年的發展奠定了基礎,且預計到2030年,該市場預計將增長到2萬億美元。CP research研究表明,在風險投資基金和房地產領域STO已經顯現出了代表性,但韓國當地政府仍然將加密和區塊鏈視為兩個獨立的實體,這可能會成為STO發展的一大阻礙,這意味著當地公司可能會去其他地方推出STO。
Coinone研究顯示,若只專注于資產清算的STO,最終將創建一個只交易無價值資產的“檸檬市場”,只關注清算的可能性是一種危險的想法。尤其,STO可能會造成另一場經濟崩潰,就像2008年的抵押貸款證券一樣。據悉,兩項研究的目的是促使政府制定具體的規章制度來管理STO,從而使整個市場處于一個良好的狀態。[2019/1/22]
包含功能:監測惡意Seaport交易、HoneypotNFT以及釣魚網站。
動態 | 日本金融廳研討會:為加密行業監管提出四點意見:據bitpress消息,在日本金融廳第六次加密貨幣交易所研討會上,關于加密行業的監管規范提出了以下幾點意見:1、處理有問題的虛擬貨幣;2、加強對客戶財產的管理和維護;3、減少與投機交易相關的風險;4、確保交易的透明度并防止利益沖突。[2018/10/3]
使用特性:不鏈接錢包,通過模擬交易的方式驗證交易安全,略微影響交易速度。
3、Revoke.cash:安裝次數10k+,中英文界面。適用于所有基于EVM的鏈,如Ethereum、Polygon和Avalanche、可用于Firefox、MicrosoftEdge、GoogleChrome等瀏覽器。
包含功能:對非白名單NFT交易網站、釣魚網站的交易會彈出警告;可撤銷授權。
4、Fire:安裝次數10k+、適用于以太坊主網和Polygon。與MetaMask和Coinbase錢包兼容,可適用任何以太坊錢包。
動態 | 俄羅斯加密行業工資下降40%:據Bitcoin.com報道,俄羅斯加密行業的平均每月支付已經從2017年的水平下降了40%。雇主通常為證券分析師,項目經理和法律專家支付更少的費用,大概是100,000盧布(約合1,600美元)。另一方面,公關專家的需求仍然很高,盡管,為這些專家提供的工資已經下降了50%,從2017年12月的800,000盧布(> 12,000美元)下降到現在的400,000盧布(> 6,000美元),目前仍然是遠高于俄羅斯平均標準的工資。[2018/7/25]
工作原理:通過模擬用戶受影響的ERC-20、ERC-721和ERC-1155交易,監測掃描交易是否安全。
小眾插件
1、WalletGuard:安裝次數6k+,BinanceLabs孵化。
功能:阻止訪問近期創建且信任度低的網站、自動禁用惡意拓展應用程序、監測并阻止訪問釣魚網站。
2、MetaDock:安裝次數3k+,代碼開源,安全公司BlockSec團隊產品。
功能:僅支持BTC、ETH、BSC、Polygon、Fantom、Arbitrum、Cronos、Avalanche、Optimism、Moonbeam公鏈以及Opensea。可查看地址資金流向、監測NFT藏品風險、與Debank、NFTGo等產品交互。
3、Blockem:安裝次數930
功能:AI算法模擬交易以及地址打分
4、Metashield:安裝次數864、代碼開源、由BuidlerDAO孵化的第一個項目。
工作原理:識別approve和send交易,并通過黑白名單的方式以及檢查被授權地址的狀態,幫助用戶進行預警和攔截釣魚網站。無需連接錢包、無需授權。
5、Stelo:安裝次數628、代碼開源、適用于任何基于Chromium的瀏覽器。
工作原理:Stelo通過包裝Metamask注入頁面的window.ethereumJavascript對象來暫停發送到Metamask的交易請求。一旦用戶在Stelo中批準交易,它就會恢復Metamask請求,如果用戶拒絕它,它會取消請求。
6、ScamSniffer:安裝次數615、代碼開源。
包含功能:DetectorAPI、模擬交易等。
7、BeosinAlert:安裝次數291,由區塊鏈安全審計公司Beosin團隊開發。
盤點小結
慢霧創始人余弦表示其重點關注了ScamSniffer、Revoke.cash、WalletGuard、PocketUniverse、Fire。
使用人數最多、功能最全的是PeckShieldAlert。但就安裝次數而言,其與MetaMask10M+、Phantom2M+相比,也幾乎是忽略不記。此外該領域未見融資信息,說明無論從用戶還是投資人的角度而言都未對其真正重視。
慢霧團隊成員@IM_23pds觀點:
區塊鏈行業被釣魚攻擊主要分布在“域名、簽名”兩點,其中90%的NFT釣魚都跟虛假域名有關。如果用戶打開一個釣魚頁面,相關的插件、瀏覽器就能直接提示風險,這樣就沒有了后面騙簽名的步驟,可以把風險阻斷在第一步。
此前Web2世界中的360時代就解決了當時小白用戶被病攻擊的困擾,但它也并非解決了木馬病問題。病的查殺和病的免殺(一種專業的躲避殺軟件查殺技術,可以自行Google了解)永遠存在時間差,如何做到時間差更小,樣本數更快、識別更精準就決定了殺軟件的厲害程度。
同樣,在區塊鏈、NFT行業,如何能第一步識別、提醒到釣魚站點的實時情況,在用戶端反饋出速度和識別度也決定了一款防釣魚插件的能力;而如果相關產品沒有在第一步識別到這些釣魚域名,用戶丟幣的風險就大大增加。
此前如果錢包有騙簽識別,能夠不錯的展示出用戶要簽名的詳細信息,如授權什么、多少、給誰等人類可讀數據,也可一定程度上避免被盜。但當前MetaMask雖有80%的市場占有率,但是解析實在夠嗆。
雖然也有一些產品解析做的不錯,但仍無法防丟幣丟NFT。任何的產品、文章、提醒都是輔助,建立自己的安全意識,可能才可以一直立于不丟幣、不丟NFT之地。個人安全意識,這才是王者。
區塊鏈研究員@tmel0211觀點:MetaMask等自托管錢包的技術邏輯是幫助用戶安全保管本地私鑰,處理用戶交易簽名,提供gateway連接各大區塊鏈主網,便捷展開DeFi等智能合約交互等。理論上講,在不影響錢包轉賬交互功能的前提下,嵌入任何優化體驗的插件服務都是可行的。防釣魚地址篩查只能算其中一種剛性需求。
不過,目前主流錢包產品功能都很簡潔,在服務優化上很克制。原因如下:
1、受客戶端信息有效載荷影響,移動端交互相比瀏覽器插件更需要簡潔;2、受去中心化共識的影響,釣魚網站、黑名單庫等需要中心化的運維支撐,會產生共識側的非議;3、受商業化傾向影響,服務夾層雖能優化體驗卻很難商業變現。
目前市場主流瀏覽器安全插件,大多為第三方安全數據公司提供:體驗都不錯,但普及度還不夠。它們都有一個夢想,成為守護web3的360安全衛士,雖然道阻且長:
1、提供插件服務的插件本身也存在潛在的安全風險可能,其信任共識需要時間積累;2、常在DEX環境下交易或MintNFT的活躍用戶現階段安全意識尚且薄弱,用戶習慣待養成;3、釣魚網站更新、黑名單地址庫等運維挑戰大;
在我看來,錢包敘事應該會趨向于垂直細分化。1、面向極客的極簡錢包;2、面向小白的安全交互防釣魚錢包;3、面向機構的可定制化錢包;4、MPC錢包;5、智能合約錢包等等。
但無論怎樣,這和安全插件服務市場并不沖突,現階段共存、互補,相信一款優秀的瀏覽器安全插件終將成為錢包一樣的標配。
Coinbase官宣孵化L2網絡Base一度讓市場沸騰,根據官方描述,Base是基于OPStack技術堆棧構建的一個以太坊二層網絡,本文歸納總結了與之相關的幾大要點,方便讀者了解.
1900/1/1 0:00:00近期Beosin安全團隊研究發現,通縮代幣引起的安全事件依然頻發,造成眾多項目方資金的損失,因此,Beosin安全團隊準備了這篇詳解通縮代幣的文章,與大家分享.
1900/1/1 0:00:00作者:Soya 2021年3月,俄亥俄州參議院正式通過DAO法案,允許用戶通過DAO來處理事務,DAO的法律地位也逐步得到認可.
1900/1/1 0:00:00作者:EshaBora 探索區塊鏈技術和社區代幣化的潛力,將學術研究提高到新的水準。Covid-19時代讓我們對人類處理巨大危機的能力產生了懷疑和恐懼,因為每分每秒都有大量的人走向死亡.
1900/1/1 0:00:00引言 詐騙罪是一個很有意思的罪名,作為一個自古以來就存在的一個傳統罪名。你說他規定的很完善吧,《刑法》就一句“詐騙公私財物”的要處罰;你說他規定的不完善吧,相關司法解釋又有一堆來列舉各種情形該怎.
1900/1/1 0:00:00原文作者:WilliamM.Peaster,由DeFi之道編譯。如果您深入了解加密世界,那么您已經聽說過零知識證明及其應用已有一段時間了.
1900/1/1 0:00:00