ETH:Web3安全插件工作原理及使用建議_ProxyNode

在DeFi的黑暗森林中，用戶每天面臨著各種安全威脅。據報道每年有超過十億美元的加密資產被騙走。用戶迫切地需要一種錢包衛士來守護資產。上篇文章提到了如?FoxEye這種Web3安全插件，本帖來解釋下它們的工作原理。

當談到反釣魚時，一個常見的安全模型是基于URL的反釣魚，因為大部分攻擊向量都依賴釣魚網站，如：

惡意合約高風險代幣授權漏洞假NFT危險簽名等等面向URL的反釣魚

建立釣魚URL的數據庫，當用戶訪問釣魚網站時進行攔截。

土耳其總統候選人Kemal K?l??daro?lu：將在上臺后擴大Web3平臺采用:5月14日消息，2023年土耳其總統候選人、土耳其最大反對黨領袖Kemal K?l??daro?lu表示將在上臺后取消對PayPal的禁令并擴大Web3平臺采用，K?l??daro?lu還批評了土耳其央行禁止在國內使用加密貨幣作為支付方式的決定。

土耳其現任總統埃爾多安曾在2021年9月份推出反對加密貨幣的政策，但由于土耳其通脹一直居高不下，該國一直位于全球加密采用率前列。（Rossaprimavera）[2023/5/14 15:02:00]

面向URL的反釣魚只能建立在靜態的URL黑名單之上，這種措施有用但比較老套也不夠全面：

StarkNet橋接用戶量超越Optimism:金色財經報道，據Dune Analytics最新數據顯示，以太坊Layer2網絡StarkNet橋接用戶量達到318,253個，超越Optimism（317,758個）。

不過在橋接存儲總價值方面，StarkNet與Optimism仍差距較大，當前前者橋接存儲價值為39,900 ETH（按照當前價格結算超過7600萬美元），后者橋接存儲價值為527,480 ETH，價值超10億美元。[2023/4/11 13:56:33]

不完備性:并不能涵蓋所有的釣魚網站。新生成的釣魚網站是盲區。滯后性:在用戶反饋和黑名單更新之間有一定延遲。局限性:對DNS劫持等其他攻擊手段無效。面向URL的反釣魚不能滿足用戶需求，因為它覆蓋的不是最終的安全敞口：待簽名交易。

馬斯克本周將就收購案接受推特律師詢問:9月26消息，馬斯克計劃在本周與推特(TWTR.N)的律師會面，在10月的審理之前接受詢問，這場審理將決定他在試圖退出交易后是否必須堅持440億美元收購這個社交平臺的協議。詢問定于周一、周二進行，可能會延長到周三，但不會公開。截至周日晚間，尚不清楚馬斯克是親自出席還是通過視頻露面。該交易審理將于10月17日在特拉華州衡平法院(Delaware Chancery Court)開始，預計只持續5天。文件還顯示，除了馬斯克，推特的律師還將在未來幾天傳喚馬斯克的副手賈里德·伯查爾(Jared Birchall)和律師亞歷克斯·斯皮羅(Alex Spiro)。[2022/9/26 5:51:30]

面向交易的反釣魚

PeckShield：檢測到thebunnybuddies Twitter被盜:5月20日消息，PeckShield發推表示檢測到thebunnybuddies Twitter已被盜，提醒用戶不要點擊此帳戶發送的任何鏈接或DM，注意資金安全。[2022/5/20 3:30:24]

殊途同歸，所有的釣魚都需要發起交易。如果我們能動態地解析交易或簽名，并攔截有害的那一部分，就可以實現用戶端的安全閉環。

典型的交易過程

本段包含一小部分代碼，但不理解代碼也可以閱讀。標準的交易過程為：

dApp前端通過?ethereum.request調用?eth_sendTransaction?向錢包發送交易信息。?params?包含所有的交易參數。ethereum.request({

method:‘eth_sendTransaction’,

params:

})

錢包要求用戶對交易簽名。將簽過名的交易發送到以太坊節點上。

Hook交易

Hook的意思是鉤子。在編程中我們把『攔截系統或軟件的函數、信息、事件，并增加或改變其功能』的技術稱為hook。

如果我們能hook這個eth_sendTransaction方法，那么就能在其被發送至用戶錢包簽名前對其進行審查。

在JavaScript中，我們使用基礎對象Proxy來完成hook。

創建一個對?ethereum.request的Proxy。

constproxy=newProxy(window.ethereum.request,this.proxyHandler);

window.ethereum.request=proxy;

其中一個參數?this.proxyHandler?中聲明了監聽到eth_sendTransaction后如何處理，具體細節按下不表，大體為：

攔截交易對象。發送至云端或在本地進行分析。若發現風險行為，警示用戶。顯然，第二步是這一流程里最關鍵和最有技術含量的，包括但不限于：

靜態分析函數selector，交互地址等調用棧的動態分析鏈式合約掃描代幣檢測交易模擬AML庫簽名分析惡意合約庫等等…每一條都可以單獨寫一篇文章，篇幅所限這里就不展開了。

Tips

最后有幾條使用安全插件的幾條建議：

僅從官網鏈接下載。雖然我還沒見到仿冒的Web3安全插件，但我可以說它們一定會來的。僅使用開源的插件。Hook是一種很有威力的技術，它不僅能攔截你的交易，也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。簡單即弱小。不要在一個Chrome窗口里安裝多個安全插件，他們互相之間可能會沖突。如果想體驗多個插件，可以裝一卸一，或使用Chrome的多用戶功能。謹記安全是一種動態追求。風險也在不斷變化之中。雖然安全插件能極大提升你的安全水平，但無法保證100%安全。安裝安全插件的同時也要提升自己的安全意識。

Tags：ETHROXPROXProxyLSETH幣AuroxProxyNode

火必