ETA:加密行業的 360 衛士？盤點正在興起的“防釣魚插件”_sec幣圈

1 月 28 日，Azuki 的 Twitter 賬號被黑，導致其粉絲連接到釣魚鏈接，超 122 枚 NFT 被盜，損失超過 78 萬美元。1 月 26 日，NFT 項目 Moonbirds 的創始人 Kevin Rose 錢包被盜，約 40 個 NFT 被盜取，損失超過 200 萬美元，手法還是 NFT “零元購”釣魚，一筆簽名即可被釣走在 OpenSea 授權過的資產。1 月 15 日，@NFT_GOD 因點擊谷歌上的釣魚廣告鏈接，導致所有賬戶（substack twitter 等）、加密貨幣、NFT 被盜。

為何普通用戶和項目方創始人都屢遭釣魚攻擊，市場上有哪些防釣魚瀏覽器插件？本文對 11 款插件進行了盤點。

原文鏈接（可在評論中找到官網推特與其網址）：

https://twitter.com/WutalkWu/status/1618742863428485120?s=19

主流插件（安裝次數大于 10k）

1、PeckShieldAlert：安裝次數 50k+，中英文界面。派盾（PeckShield）團隊產品。

Larry Cermak：Customers Bank等銀行仍為加密行業提供服務:3月13日消息，The Block研究總監Larry Cermak發推稱，為加密貨幣業務提供銀行服務的三家美國銀行被淘汰。不過，Customers Bank、First Foundation Bank、Cross River Bank、Sutton Bank、Evolve Bank & Trust、BankProv、Quontic Bank等銀行仍然提供加密貨幣銀行服務。Larry Cermak表示，自己沒有提到像摩根大通、 紐約梅隆銀行這樣的大銀行，是因為大多數小企業都無法使用這些銀行。[2023/3/13 13:00:38]

網站顯示其惡意地址收錄數量 1,286,478、釣魚網站收錄數量 90,931，且不斷更新中。目前僅支持 ETH 和 BSC 兩條鏈。

包含功能：Token 合約監測、錢包授權管理、主動防御詐騙代幣威脅、主動防御釣魚網站威脅、可信域名檢測、惡意插件檢測等防釣魚網站功能。

2、Pocket Universe：安裝次數 20k+、可用于 Firefox 、Microsoft Edge、Google Chrome 等瀏覽器、僅適用于 ETH 主網。聲稱與 Metamask、Coinbase wallets 錢包有合作。

美SEC主席：Kraken案件應該讓加密行業警覺:金色財經報道，美國證券交易委員會（SEC）主席Gary Gensler周五在CNBC節目中表示，該機構昨天針對加密貨幣交易所Kraken采取的行動應該讓加密行業警覺。他說，像Kraken這樣的公司可以提供投資合同，但他們必須進行全面、公平和真實的披露。這真的應該讓這個市場上的每個參與者都注意到，無論你稱之為借貸、盈利、收益率，是否提供所謂的年收益率，其他平臺應該注意到這一點并尋求合規。

金色財經此前報道，SEC與Kraken交易所就其質押計劃相關指控達成和解， Kraken關閉美國質押服務，并支付3000萬美元罰款。[2023/2/11 12:00:09]

包含功能：監測惡意 Seaport 交易、Honeypot NFT 以及釣魚網站。

使用特性：不鏈接錢包，通過模擬交易的方式驗證交易安全，略微影響交易速度（不超過 1 秒）。

3、Revoke.cash：安裝次數 10k+，中英文界面。適用于所有基于 EVM 的鏈，如 Ethereum、Polygon 和 Avalanche、可用于 Firefox 、Microsoft Edge、Google Chrome 等瀏覽器。

外媒：雖存在欺詐行為，澳大利亞監管機構仍熱衷于支持加密行業:澳大利亞證券和投資委員會(ASIC)表示，希望支持加密行業，并指出與監管創新技術相關的挑戰。4月22日，ASIC委員Cathie Armour在澳大利亞區塊鏈周的小組討論中表示，監管機構的目標是努力“保持，促進和改善(澳大利亞的)金融體系和在其中運作的公司的表現”，同時也確保“所有投資者和消費者有信心參與到這個體系中來”。盡管監管機構希望與加密資產行業合作，但Armour強調了ASIC收到的大量關于加密詐騙的投訴。Armour敦促行業參與者提醒監管機構注意“不良行為或欺詐活動”，并指出ASIC“將采取行動打擊該行業的不良行為”。（Cointelegraph）[2021/4/22 20:46:39]

包含功能：對非白名單 NFT 交易網站、釣魚網站的交易會彈出警告；可撤銷授權。

4、Fire：安裝次數 10k+、適用于以太坊主網和 Polygon。與 MetaMask 和 Coinbase 錢包兼容，可適用任何以太坊錢包。

工作原理：通過模擬用戶受影響的 ERC-20、ERC-721 和 ERC-1155 交易，監測掃描交易是否安全。

聲音 | 美國SEC委員皮爾斯：SEC對加密行業監管進展緩慢 對市場造成損害:據Cryptoslate消息，美國證券交易委員會（SEC）委員海斯特·皮爾斯（Hester Peirce）在近日的一次活動中分享了她對美國加密行業現狀的看法，以及監管機構反應遲緩對該行業造成的影響。皮爾斯認為，SEC缺乏行動對美國加密市場造成了損害，并表示有幾種方法可以解決這個問題。她說，該委員會缺乏“外部人士”，這可能會給該機構帶來一股變革之風。然而，事實證明，為美國政府監管機構招聘員工要比看上去困難得多。她還表示，投資者和SEC都需要平衡他們的預期。她在活動上表示:“如果你要求更多的回旋余地，你就不能指責政府。” 為了對其進行監管，SEC首先需要就什么是加密貨幣達成共識。當皮爾斯被問及她認為加密貨幣是一種資產還是一種機制時，她表示，她主要將其視為一種交易機制。然而，皮爾斯補充說，數字資產的價值儲存功能不應該被忽視。她說:“我確實認為，我們將看到技術的變化，它們將更多地成為互聯網的財富。”[2019/9/28]

小眾插件（安裝次數小于 10k）

1、Wallet Guard：安裝次數 6k+，Binance Labs 孵化。

分析 | Blockchain Defender：加密行業仍普遍缺乏公眾信任:據bitcoinews報道，Blockchain Defender最近的一份報告聲稱，盡管加密貨幣市場資本化程度不斷提高，但整個行業仍普遍缺乏公眾信任。為了分析市場情緒，該機構調查了每個國家母語的搜索結果，美國的加密相關搜索結果最負面，其次是德國、阿拉伯聯合酋長國和日本。負面內容的實際來源包括社交媒體平臺、博客、加密行業新聞網站、論壇、加密審查網站以及加密公司目錄和網站。該報告還發現，加密貨幣交易所對人們在線情緒的控制遠遠低于傳統交易所。[2019/2/3]

功能：阻止訪問近期創建且信任度低的網站、自動禁用惡意拓展應用程序、監測并阻止訪問釣魚網站。

2、MetaDock：安裝次數 3k+，代碼開源，安全公司 BlockSec 團隊產品。

功能：僅支持 BTC、ETH、BSC、Polygon、Fantom、Arbitrum、Cronos、Avalanche、Optimism、Moonbeam 公鏈以及 Opensea。可查看地址資金流向、監測 NFT 藏品風險、與 Debank、NFTGo 等產品交互。

3、Blockem：安裝次數 930

功能：AI算法模擬交易以及地址打分

4、Metashield：安裝次數 864、代碼開源、由 BuidlerDAO 孵化的第一個項目。

工作原理：識別 approve 和 send 交易，并通過黑白名單的方式以及檢查被授權地址的狀態，幫助用戶進行預警和攔截釣魚網站。無需連接錢包、無需授權。

5、Stelo：安裝次數 628、代碼開源、適用于任何基于 Chromium 的瀏覽器。

工作原理：Stelo 通過包裝 Metamask 注入頁面的 window.ethereum Javascript 對象來暫停發送到 Metamask 的交易請求。一旦用戶在 Stelo 中批準交易，它就會恢復 Metamask 請求，如果用戶拒絕它，它會取消請求。

6、Scam Sniffer：安裝次數 615、代碼開源。

包含功能：Detector API（監測轉移用戶資產、請求授權等惡意行為）、模擬交易等。

7、Beosin Alert：安裝次數 291，由區塊鏈安全審計公司 Beosin 團隊開發。

盤點小結

慢霧創始人余弦表示其重點關注了 Scam Sniffer、Revoke.cash、Wallet Guard、Pocket Universe、Fire。

使用人數最多、功能最全的是 PeckShieldAlert。但就安裝次數而言，其與 MetaMask 10M+、Phantom 2M+ 相比，也幾乎是忽略不記。此外該領域未見融資信息，說明無論從用戶還是投資人的角度而言都未對其真正重視。

慢霧團隊成員 @IM_23pds 觀點：

區塊鏈行業被釣魚攻擊主要分布在“域名、簽名”兩點，其中 90% 的 NFT 釣魚都跟虛假域名有關。如果用戶打開一個釣魚頁面，相關的插件、瀏覽器就能直接提示風險，這樣就沒有了后面騙簽名的步驟，可以把風險阻斷在第一步。

此前 Web2 世界中的 360 時代就解決了當時小白用戶被病攻擊的困擾，但它也并非解決了木馬病問題。病的查殺和病的免殺(一種專業的躲避殺軟件查殺技術，可以自行 Google 了解) 永遠存在時間差，如何做到時間差更小，樣本數更快、識別更精準就決定了殺軟件的厲害程度。

同樣，在區塊鏈、NFT 行業，如何能第一步識別、提醒到釣魚站點的實時情況，在用戶端反饋出速度和識別度也決定了一款防釣魚插件的能力；而如果相關產品沒有在第一步識別到這些釣魚域名，用戶丟幣的風險就大大增加。

此前如果錢包有騙簽識別，能夠不錯的展示出用戶要簽名的詳細信息，如授權什么、多少、給誰等人類可讀數據，也可一定程度上避免被盜。但當前 MetaMask 雖有 80% 的市場占有率，但是解析實在夠嗆。

雖然也有一些產品解析做的不錯，但仍無法防丟幣丟 NFT。任何的產品、文章、提醒都是輔助，建立自己的安全意識，可能才可以一直立于不丟幣、不丟 NFT 之地。個人安全意識，這才是王者。

區塊鏈研究員 @tmel0211 觀點：MetaMask 等自托管錢包的技術邏輯是幫助用戶安全保管本地私鑰，處理用戶交易簽名，提供 gateway 連接各大區塊鏈主網，便捷展開 DeFi 等智能合約交互等。理論上講，在不影響錢包轉賬交互功能的前提下，嵌入任何優化體驗的插件服務都是可行的。防釣魚地址篩查只能算其中一種剛性需求。

不過，目前主流錢包產品功能都很簡潔，在服務優化上很克制。原因如下：

1、受客戶端信息有效載荷影響，移動端交互相比瀏覽器插件更需要簡潔；2、受去中心化共識的影響，釣魚網站、黑名單庫等需要中心化的運維支撐，會產生共識側的非議；3、受商業化傾向影響，服務夾層雖能優化體驗卻很難商業變現。

目前市場主流瀏覽器安全插件，大多為第三方安全數據公司提供：體驗都不錯，但普及度還不夠。它們都有一個夢想，成為守護 web3 的 360 安全衛士，雖然道阻且長：

1、提供插件服務的插件本身也存在潛在的安全風險可能，其信任共識需要時間積累；2、常在 DEX 環境下交易或 Mint NFT 的活躍用戶現階段安全意識尚且薄弱，用戶習慣待養成；3、釣魚網站更新、黑名單地址庫等運維挑戰大；

在我看來，錢包敘事應該會趨向于垂直細分化。1、面向極客的極簡錢包；2、面向小白的安全交互防釣魚錢包；3、面向機構的可定制化錢包；4、MPC 錢包；5、智能合約錢包等等。

但無論怎樣，這和安全插件服務市場并不沖突，現階段共存、互補，相信一款優秀的瀏覽器安全插件終將成為錢包一樣的標配。

金色早8點

金色財經

Odaily星球日報

歐科云鏈

澎湃新聞

Arcane Labs

深潮TechFlow

MarsBit

BTCStudy

鏈得得

Tags：NFTSECMETETANFTFundArtsec幣圈METAKATDOGEMETA價格

瑞波幣