查看原文
其他

MetaShield:一款Web3的防钓鱼插件,为用户在Web3黑暗森林里穿上防弹衣

Bryan Web3工场 2022-10-22

  //  

MetaShield旨在尽可能保护加密资产,为用户在 Web3 的黑暗森林里穿上一件防弹衣。

随着Web3领域各种应用程序的相继发展,安全问题也随之凸显。近期钓鱼诈骗攻击事件频发,各种钓鱼攻击手法层出不穷。
昨天,一位朋友在群里分享了被钓鱼网站偷了两只生气猫和16个ENS的经历。
盗窃方式是给钱包地址空投一个堡垒之夜的NFT(实际上是SBT,无法交易),并设置为0.7eth的高地板价。
当时朋友以为是捡到宝了,点开描述里的堡垒之夜网站,小狐狸弹窗两次,进行两次签名,没仔细看,实际上是授权转移token和NFT。

不过笔者注意到朋友安装的防钓鱼插件MetaShield其实在全过程都弹窗预警了,只是被他忽视了而已,非常可惜。


但朋友的损失又再次警醒了我们这款防钓鱼插件MetaShield的重要性,因此笔者打算今天来给大家重点介绍一下这款防钓鱼插件。


MetaShield 是由Buidler DAO孵化的一款 Web3 是一款无需连接钱包、无需签名授权的web3防钓鱼谷歌浏览器插件,旨在尽可能保护加密资产,为用户在 Web3 的黑暗森林里穿上一件防弹衣。


1

钓鱼工具的手段

首先是让用户中套。
在NFT发售或者白名单抢购的时候,用户当中会形成非常强的FOMO情绪,这个时候用户更多是在意谁更快下手,因此也是攻击者最容易得手的时候。
攻击手段可能是在预售前几分钟发布精心模仿的官方网站引诱心急的用户点击进入;有可能是侵入Discord服务器,在社区里面散发虚假链接;亦或是像上面例子展示的,将巨额利润暴露在用户面前,让用户中套。
然后是得到资产操作权限。
钓鱼网站通常伪装成某些知名的NFT网站,并散播假消息如“某个 NFT 开始了 mint”,从而引发用户 fomo ,涌入网站点击 mint 按钮。
实际上,按钮的背后是使用了一个 ERC721 自带的 approve 操作,该操作会要求用户将资产授权给某个地址,从而该地址可以不经允许随时转走钱包中的NFT;或者是直接使用了 send 操作,要求用户将一笔资金转移给某个地址。
很多时候用户没有仔细查看钱包的内容,小狐狸钱包也没有对于本次交易充分说明,所以如此简单的手段,每年仍然有数亿美金的资产被偷走。

2

如何防范

因此,我们理解了攻击者的作案手法之后,其实如何防范也就了然于胸。总结来看有以下两点:
1.通过一种方式帮助用户快速判断是否为官方网站。
2.通过一种方式来帮助用户识别网站是否发起了请求操作资产权限的动作。

3

MetaShield的原理

MetaShield的原理也是如此,通过高危行为检测、黑白名单校验与充分信息透传的方式很好的做到了以上两点。
1.高危行为检测:监听到用户正在进行 approve、send 这样涉及资产的高危行为。
2.黑白名单校验:检查到正在发起高危行为的网站是否存在于黑白名单中;若存在于白名单,则正常放行;若存在于黑名单,则进行拦截,并告知一旦点击则会发生什么。
3.充分信息透传:若不存在于黑白名单,考虑到用户的安全,也会暂时拦截,并为用户注明风险提示,以及被授权地址的验证与开源状态供用户进行参考判断,若确认无误可继续执行。

4

MetaShield的高危行为检测技术

弥补传统黑白名单的痛点

相较于传统的安全插件只通过域名黑白名单匹配,只有已经发生钓鱼事件并经过用户上报、管理员审核后才会纳入黑名单,因此存在名单覆盖不全面,更新不及时等痛点。
在这个基础上,MetaShield又增加了高危行为检测,MetaShield 会对浏览器与钱包的网路通信过程中产生的高危行为进行监测,但是注意MetaShield并不会与你的钱包进行任何交互包括连接、签名和授权。
通过ABI合约接口分析调取指令,实时监测 MetaMask 的 approve、send等涉及资产转移的 高危交易行为,而非仅仅监测域名是否存在于黑名单,从而可以全面、及时的预警和拦截高危交易行为。
其次在预警后MetaShield会进一步获取对方地址的状态,包括开源验证等情况,从而告诉用户充分的信息:你正在做什么事、与谁做、做了的后果是什么,辅助用户进行判断。
用可警示可视化的方式展示给用户,为用户的行为增加一份保险。这种技术在一些例如Keystone的硬件钱包中也有使用。

当然,为了快速识别是否为官网网站,MetaShield 也利用黑白名单来收录交易网址,其中黑名单来源于慢雾和零时两家安全公司的合约黑名单库。


5

MetaShield无需连接钱包、无需

签名授权从源头上保证使用安全

至于MetaShield本身的安全性,使用metashield不需要进行任何的钱包签名与授权行为,它不会和你的钱包进行任何的交互行为,因此从源头上就是安全的。
其次MetaShield团队也和Beosin这样头部的安全公司进行深度宣发和业务层面的合作。

6

安全赛道雷声大雨点小,

用户需要提升对资产安全的认知

目前MetaShield有1000多名用户,这样一个实用的产品但是用户量并不算多,充分反映了目前用户对行业安全认知的不足。
也许是受到过去规范安全互联网的温室环境培养,大部分Web3用户都会产生一种仍然安全的认知错觉。
Web3安全赛道向来是雷声大雨点小,我们经常看到数亿美元资产的损失,但转头来还是以过去漫不经心的方式来对付自己的资产。
因为很多人都会认为自己“足够聪明”到不会遇到这种看似低级的钓鱼手段,但想想那些被盗走数十个BAYC、AZUKI的持有人哪个人不够聪明呢?
在此,笔者也强烈建议大家关注自己的资产安全,使用例如MetaShield的产品来为自己在Web3黑暗森林里穿上一件防弹衣。

7

立意安全高点,Buidler DAO成员

内部孵化的产品MetaShield

团队方面,MetaShield 是完全由Buidler DAO成员内部孵化的产品。
在问到为什么Buidler DAO的首款产品是MetaShield这种安全产品,联合发起人Jason回答道,Buidler DAO创建的立意就是为了更好的建设行业。
因此团队希望通过这一纯公益的产品来保护用户的资产,让用户真正享受到web3的魅力,也为Buidler DAO的价值观和愿景打下坚定的基础。
除此之外,他之前在某互联网大厂负责安全相关业务,因此对安全赛道也比较熟悉,这也是他们的优势所在。
Buidler DAO 后续会不断产出如 MetaShield 这样有高社会价值意义的项目,目前也跟一些区块链安全领域头部公司合作。
例如beosin、slowmist、noneage、lunaray。前段时间,Buidler DAO联合beosin一起撰写了Web3防钓鱼安全白皮书,并开设了多期web3安全教育课程。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存