MetaShield:一款 Web3 的防钓鱼插件,为用户在 Web3 黑暗森林里穿上防弹衣
2022-10-1820:08
MetaShield 旨在尽可能保护加密资产,为用户在 Web3 的黑暗森林里穿上一件防弹衣。
随着 Web3 领域各种应用程序的相继发展,安全问题也随之凸显。近期钓鱼诈骗攻击事件频发,各种钓鱼攻击手法层出不穷。昨天,一位朋友在群里分享了被钓鱼网站偷了两只生气猫和 16 个 ENS 的经历。盗窃方式是给钱包地址空投一个堡垒之夜的 NFT(实际上是 SBT,无法交易),并设置为 0.7eth 的高地板价。当时朋友以为是捡到宝了,点开描述里的堡垒之夜网站,小狐狸弹窗两次,进行两次签名,没仔细看,实际上是授权转移 token 和 NFT。不过笔者注意到朋友安装的防钓鱼插件 MetaShield 其实在全过程都弹窗预警了,只是被他忽视了而已,非常可惜。
但朋友的损失又再次警醒了我们这款防钓鱼插件 MetaShield 的重要性,因此笔者打算今天来给大家重点介绍一下这款防钓鱼插件。
MetaShield 是由 Buidler DAO 孵化的一款 Web3 是一款无需连接钱包、无需签名授权的 web3 防钓鱼谷歌浏览器插件,旨在尽可能保护加密资产,为用户在 Web3 的黑暗森林里穿上一件防弹衣。
在 NFT 发售或者白名单抢购的时候,用户当中会形成非常强的 FOMO 情绪,这个时候用户更多是在意谁更快下手,因此也是攻击者最容易得手的时候。攻击手段可能是在预售前几分钟发布精心模仿的官方网站引诱心急的用户点击进入;有可能是侵入 Discord 服务器,在社区里面散发虚假链接;亦或是像上面例子展示的,将巨额利润暴露在用户面前,让用户中套。钓鱼网站通常伪装成某些知名的 NFT 网站,并散播假消息如“某个 NFT 开始了 mint”,从而引发用户 fomo ,涌入网站点击 mint 按钮。实际上,按钮的背后是使用了一个 ERC721 自带的 approve 操作,该操作会要求用户将资产授权给某个地址,从而该地址可以不经允许随时转走钱包中的 NFT;或者是直接使用了 send 操作,要求用户将一笔资金转移给某个地址。很多时候用户没有仔细查看钱包的内容,小狐狸钱包也没有对于本次交易充分说明,所以如此简单的手段,每年仍然有数亿美金的资产被偷走。因此,我们理解了攻击者的作案手法之后,其实如何防范也就了然于胸。总结来看有以下两点:2.通过一种方式来帮助用户识别网站是否发起了请求操作资产权限的动作。MetaShield 的原理也是如此,通过高危行为检测、黑白名单校验与充分信息透传的方式很好的做到了以上两点。1.高危行为检测:监听到用户正在进行 approve、send 这样涉及资产的高危行为。2.黑白名单校验:检查到正在发起高危行为的网站是否存在于黑白名单中;若存在于白名单,则正常放行;若存在于黑名单,则进行拦截,并告知一旦点击则会发生什么。3.充分信息透传:若不存在于黑白名单,考虑到用户的安全,也会暂时拦截,并为用户注明风险提示,以及被授权地址的验证与开源状态供用户进行参考判断,若确认无误可继续执行。MetaShield 的高危行为检测技术
弥补传统黑白名单的痛点
相较于传统的安全插件只通过域名黑白名单匹配,只有已经发生钓鱼事件并经过用户上报、管理员审核后才会纳入黑名单,因此存在名单覆盖不全面,更新不及时等痛点。在这个基础上,MetaShield 又增加了高危行为检测,MetaShield 会对浏览器与钱包的网路通信过程中产生的高危行为进行监测,但是注意 MetaShield 并不会与你的钱包进行任何交互包括连接、签名和授权。通过 ABI 合约接口分析调取指令,实时监测 MetaMask 的 approve、send 等涉及资产转移的 高危交易行为,而非仅仅监测域名是否存在于黑名单,从而可以全面、及时的预警和拦截高危交易行为。其次在预警后 MetaShield 会进一步获取对方地址的状态,包括开源验证等情况,从而告诉用户充分的信息:你正在做什么事、与谁做、做了的后果是什么,辅助用户进行判断。用可警示可视化的方式展示给用户,为用户的行为增加一份保险。这种技术在一些例如 Keystone 的硬件钱包中也有使用。当然,为了快速识别是否为官网网站,MetaShield 也利用黑白名单来收录交易网址,其中黑名单来源于慢雾和零时两家安全公司的合约黑名单库。
MetaShield 无需连接钱包、无需
签名授权从源头上保证使用安全
至于 MetaShield 本身的安全性,使用 metashield 不需要进行任何的钱包签名与授权行为,它不会和你的钱包进行任何的交互行为,因此从源头上就是安全的。其次 MetaShield 团队也和 Beosin 这样头部的安全公司进行深度宣发和业务层面的合作。安全赛道雷声大雨点小,
用户需要提升对资产安全的认知
目前 MetaShield 有 1000 多名用户,这样一个实用的产品但是用户量并不算多,充分反映了目前用户对行业安全认知的不足。也许是受到过去规范安全互联网的温室环境培养,大部分 Web3 用户都会产生一种仍然安全的认知错觉。Web3 安全赛道向来是雷声大雨点小,我们经常看到数亿美元资产的损失,但转头来还是以过去漫不经心的方式来对付自己的资产。因为很多人都会认为自己“足够聪明”到不会遇到这种看似低级的钓鱼手段,但想想那些被盗走数十个 BAYC、AZUKI 的持有人哪个人不够聪明呢?在此,笔者也强烈建议大家关注自己的资产安全,使用例如 MetaShield 的产品来为自己在 Web3 黑暗森林里穿上一件防弹衣。立意安全高点,Buidler DAO 成员
内部孵化的产品 MetaShield
团队方面,MetaShield 是完全由 Buidler DAO 成员内部孵化的产品。在问到为什么 Buidler DAO 的首款产品是 MetaShield 这种安全产品,联合发起人 Jason 回答道,Buidler DAO 创建的立意就是为了更好的建设行业。因此团队希望通过这一纯公益的产品来保护用户的资产,让用户真正享受到 web3 的魅力,也为 Buidler DAO 的价值观和愿景打下坚定的基础。除此之外,他之前在某互联网大厂负责安全相关业务,因此对安全赛道也比较熟悉,这也是他们的优势所在。Buidler DAO 后续会不断产出如 MetaShield 这样有高社会价值意义的项目,目前也跟一些区块链安全领域头部公司合作。例如 beosin、slowmist、noneage、lunaray。前段时间,Buidler DAO 联合 beosin 一起撰写了 Web3 防钓鱼安全白皮书,并开设了多期 web3 安全教育课程。
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。
