1月28日,Azuki的Twitter賬號被黑,導致其粉絲連接到釣魚鏈接,超122枚NFT被盜,損失超過78萬美元。1月26日,NFT項目Moonbirds的創始人KevinRose錢包被盜,約40個NFT被盜取,損失超過200萬美元,手法還是NFT“零元購”釣魚,一筆簽名即可被釣走在OpenSea授權過的資產。1月15日,@NFT_GOD因點擊谷歌上的釣魚廣告鏈接,導致所有賬戶、加密貨幣、NFT被盜。
為何普通用戶和項目方創始人都屢遭釣魚攻擊,市場上有哪些防釣魚瀏覽器插件?本文對11款插件進行了盤點。
原文鏈接:
https://twitter.com/WutalkWu/status/1618742863428485120?s=19
主流插件
1、PeckShieldAlert:安裝次數50k+,中英文界面。派盾團隊產品。
網站顯示其惡意地址收錄數量1,286,478、釣魚網站收錄數量90,931,且不斷更新中。目前僅支持ETH和BSC兩條鏈。
觀點:加密行業目前缺乏與產品市場相匹配的應用程序:金色財經報道,Jason Yanowitz在Bell Curve播客提問,每個人都在建設基礎設施,沒有應用程序。Mike Ippolito回答,在基礎架構和應用程序之間有一個滯后期,你實際上需要良好的基礎架構來構建應用程序。Web3基礎設施與應用開發之間的關系類似于雞生蛋、蛋生雞的問題。要開發優秀的應用程序,就需要能支持這些應用程序的基礎設施。但歸根結底,基礎設施應該為應用程序服務。到目前為止,加密行業似乎還缺乏一樣東西,一種與產品市場相匹配的應用程序,以推動基礎設施的發展,但它即將到來。[2023/7/31 16:07:46]
包含功能:Token合約監測、錢包授權管理、主動防御詐騙代幣威脅、主動防御釣魚網站威脅、可信域名檢測、惡意插件檢測等防釣魚網站功能。
2、PocketUniverse:安裝次數20k+、可用于Firefox、MicrosoftEdge、GoogleChrome等瀏覽器、僅適用于ETH主網。聲稱與Metamask、Coinbasewallets錢包有合作。
安永Paul Brody:今年加密冬天的一個主要特征是加密資產的價格與加密行業之間存在脫鉤:金色財經報道,安永 (EY) 全球區塊鏈負責人Paul Brody在Mint出版物發表的采訪中討論了加密冬天、監管的必要性以及加密交易所 FTX 的崩潰。有人問他是否預計當前的加密貨幣冬天會很快結束。Paul Brody表示,這是一個比上一個冬天溫和得多的加密貨幣冬天,今年冬天的一個主要特征是加密資產的價格與加密行業正在進行的產品和工程開發工作之間存在脫鉤。他補充說,以太坊生態系統現在更加專注于應用程序開發、NFT和DAO。[2022/11/27 20:56:56]
包含功能:監測惡意Seaport交易、HoneypotNFT以及釣魚網站。
使用特性:不鏈接錢包,通過模擬交易的方式驗證交易安全,略微影響交易速度。
3、Revoke.cash:安裝次數10k+,中英文界面。適用于所有基于EVM的鏈,如Ethereum、Polygon和Avalanche、可用于Firefox、MicrosoftEdge、GoogleChrome等瀏覽器。
Terra創始人發布2022年加密行業預測:向Web 3的認知轉變已經開始:12月31日消息,Terra創始人Do Kwon在個人社交媒體平臺發布了對2022年行業發展的預測,他表示,2021年對于Terra和加密行業來說是偉大的一年,加密行業從DeFi熱潮延續到NFT熱潮,Layer1也得到了迅猛發展,產生數十億美元收益。雖然許多人批評說:DeFi是Token印鈔機、「GameFi只是變相收益耕作」、NFT只是JPEG,但這種看法是不對的。對我來說,加密最令人興奮的事情是促進人類活動從實體世界到互聯網的大遷移,并創造一個不受性別、地理位置等物理定律約束,而僅受人類智慧約束的世界。DoKwon認為,Web3肯定不會只是融入Token的Minecraft(我的世界),DeFi也會發生轉變,如今熱門DeFi應用仍是一些Web2世界里的應用,比如交易平臺、保險等,但現在,向Web3的認知轉變已經開始。[2021/12/31 8:16:10]
包含功能:對非白名單NFT交易網站、釣魚網站的交易會彈出警告;可撤銷授權。
MicroStrategy CEO:狗狗幣熱潮對整個加密行業有利:5月10日消息,MicroStrategy首席執行官Michael Saylor表示,狗狗幣在狂熱驅使下的上漲對整個加密行業都有利。Saylor稱,由于投資者對美元的膨脹感到沮喪,因此人們轉向巨大風險的投資機會,比如GameStop和狗狗幣。Saylor指出,不斷增長的風險偏好對加密貨幣有利。Saylor補充說,狗狗幣為人們提供了很多樂趣和娛樂,在這個過程中吸引了加密新手。(The Daily )[2021/5/10 21:41:59]
4、Fire:安裝次數10k+、適用于以太坊主網和Polygon。與MetaMask和Coinbase錢包兼容,可適用任何以太坊錢包。
工作原理:通過模擬用戶受影響的ERC-20、ERC-721和ERC-1155交易,監測掃描交易是否安全。
小眾插件
1、WalletGuard:安裝次數6k+,BinanceLabs孵化。
美國SEC委員:Gary Gensler若成功當選SEC主席,將利好加密行業:美國證券交易委員會(SEC)委員、“加密媽媽”Hester Peirce最近接受采訪時表示:“我認為我們(美國)在加密領域有點錯失良機。這很大程度上是因為監管缺乏清晰度。現在我們有機會推進這一工作。SEC很可能會有一位新主席Gary Gensler,他已經在參議院舉行了聽證會,這是過程中的一步。如果Gensler最終投票通過并加入SEC擔任主席,他將帶來對這一資產類別的深刻了解。”
此前消息,美國參議院銀行委員會以14票贊成、10票反對的結果通過Gary Gensler的美國證券交易委員會(SEC)主席的提名。Gensler還需面對全體參議院的最終投票。此前,Gensler在3月2日舉行的參議院確認聽證會上稱加密貨幣為“變革催化劑”。(Cointelegraph)[2021/3/11 18:36:53]
功能:阻止訪問近期創建且信任度低的網站、自動禁用惡意拓展應用程序、監測并阻止訪問釣魚網站。
2、MetaDock:安裝次數3k+,代碼開源,安全公司BlockSec團隊產品。
功能:僅支持BTC、ETH、BSC、Polygon、Fantom、Arbitrum、Cronos、Avalanche、Optimism、Moonbeam公鏈以及Opensea。可查看地址資金流向、監測NFT藏品風險、與Debank、NFTGo等產品交互。
3、Blockem:安裝次數930
功能:AI算法模擬交易以及地址打分
4、Metashield:安裝次數864、代碼開源、由BuidlerDAO孵化的第一個項目。
工作原理:識別approve和send交易,并通過黑白名單的方式以及檢查被授權地址的狀態,幫助用戶進行預警和攔截釣魚網站。無需連接錢包、無需授權。
5、Stelo:安裝次數628、代碼開源、適用于任何基于Chromium的瀏覽器。
工作原理:Stelo通過包裝Metamask注入頁面的window.ethereumJavascript對象來暫停發送到Metamask的交易請求。一旦用戶在Stelo中批準交易,它就會恢復Metamask請求,如果用戶拒絕它,它會取消請求。
6、ScamSniffer:安裝次數615、代碼開源。
包含功能:DetectorAPI、模擬交易等。
7、BeosinAlert:安裝次數291,由區塊鏈安全審計公司Beosin團隊開發。
盤點小結
慢霧創始人余弦表示其重點關注了ScamSniffer、Revoke.cash、WalletGuard、PocketUniverse、Fire。
使用人數最多、功能最全的是PeckShieldAlert。但就安裝次數而言,其與MetaMask10M+、Phantom2M+相比,也幾乎是忽略不記。此外該領域未見融資信息,說明無論從用戶還是投資人的角度而言都未對其真正重視。
慢霧團隊成員@IM_23pds觀點:
區塊鏈行業被釣魚攻擊主要分布在“域名、簽名”兩點,其中90%的NFT釣魚都跟虛假域名有關。如果用戶打開一個釣魚頁面,相關的插件、瀏覽器就能直接提示風險,這樣就沒有了后面騙簽名的步驟,可以把風險阻斷在第一步。
此前Web2世界中的360時代就解決了當時小白用戶被病攻擊的困擾,但它也并非解決了木馬病問題。病的查殺和病的免殺(一種專業的躲避殺軟件查殺技術,可以自行Google了解)永遠存在時間差,如何做到時間差更小,樣本數更快、識別更精準就決定了殺軟件的厲害程度。
同樣,在區塊鏈、NFT行業,如何能第一步識別、提醒到釣魚站點的實時情況,在用戶端反饋出速度和識別度也決定了一款防釣魚插件的能力;而如果相關產品沒有在第一步識別到這些釣魚域名,用戶丟幣的風險就大大增加。
此前如果錢包有騙簽識別,能夠不錯的展示出用戶要簽名的詳細信息,如授權什么、多少、給誰等人類可讀數據,也可一定程度上避免被盜。但當前MetaMask雖有80%的市場占有率,但是解析實在夠嗆。
雖然也有一些產品解析做的不錯,但仍無法防丟幣丟NFT。任何的產品、文章、提醒都是輔助,建立自己的安全意識,可能才可以一直立于不丟幣、不丟NFT之地。個人安全意識,這才是王者。
區塊鏈研究員@tmel0211觀點:MetaMask等自托管錢包的技術邏輯是幫助用戶安全保管本地私鑰,處理用戶交易簽名,提供gateway連接各大區塊鏈主網,便捷展開DeFi等智能合約交互等。理論上講,在不影響錢包轉賬交互功能的前提下,嵌入任何優化體驗的插件服務都是可行的。防釣魚地址篩查只能算其中一種剛性需求。
不過,目前主流錢包產品功能都很簡潔,在服務優化上很克制。原因如下:
1、受客戶端信息有效載荷影響,移動端交互相比瀏覽器插件更需要簡潔;2、受去中心化共識的影響,釣魚網站、黑名單庫等需要中心化的運維支撐,會產生共識側的非議;3、受商業化傾向影響,服務夾層雖能優化體驗卻很難商業變現。
目前市場主流瀏覽器安全插件,大多為第三方安全數據公司提供:體驗都不錯,但普及度還不夠。它們都有一個夢想,成為守護web3的360安全衛士,雖然道阻且長:
1、提供插件服務的插件本身也存在潛在的安全風險可能,其信任共識需要時間積累;2、常在DEX環境下交易或MintNFT的活躍用戶現階段安全意識尚且薄弱,用戶習慣待養成;3、釣魚網站更新、黑名單地址庫等運維挑戰大;
在我看來,錢包敘事應該會趨向于垂直細分化。1、面向極客的極簡錢包;2、面向小白的安全交互防釣魚錢包;3、面向機構的可定制化錢包;4、MPC錢包;5、智能合約錢包等等。
但無論怎樣,這和安全插件服務市場并不沖突,現階段共存、互補,相信一款優秀的瀏覽器安全插件終將成為錢包一樣的標配。
1.金色觀察|OPStack和以太坊主網之間有哪些差異2023年2月23日,Coinbase宣布推出基于OPStack的Base測試網.
1900/1/1 0:00:00撰文:JonCharbonneau 編譯:DeFi之道 盡快標題是否定UltrasoundMoney敘事,但你很難找到比我對以太坊更感興趣的人.
1900/1/1 0:00:001.Pantera合伙人:當前ZK解決方案和用例一覽區塊鏈為安全的、去中心化的交易開辟了新的途徑,為去中心化金融和數字身份服務等發展鋪平了道路.
1900/1/1 0:00:00頭條 ▌Coinbase發布以太坊L2網絡Base金色財經報道,Coinbase發布以太坊L2網絡Base,Base是一個安全、低成本、開發人員友好的以太坊L2.
1900/1/1 0:00:00華盛頓特區 2023年3月2日 早上好。我很高興加入投資者咨詢委員會。按照慣例,我想指出我的觀點是我自己的,我不代表委員會或SEC工作人員發言.
1900/1/1 0:00:00原文標題:《讀懂加密做市商:如何「操縱」加密市場?》原文作者:RektFencer你有沒有想過.
1900/1/1 0:00:00