Web3行业一直是黑客攻击的重灾区,攻击手段层出不穷,用户防不胜防。刨除项目方作恶或智能合约的漏洞外,大多数攻击都是针对个人钱包,如通过网络钓鱼链接方式欺骗用户授权虚假交易、泄露私钥或其他敏感信息,造成个人资产的损失。由此可见,Web3钱包的保护非常重要。
Web3钱包的保护不仅需要个人风险意识的增强,也需要专业的安保工具来配合。Odaily星球日报近期关注到的Web3钱包的安保工具 Shield 3 ,通过一种类似 360 安全卫士的方式在保障用户的钱包安全。在试用这一工具后,我们发现,Shield 3 不仅会在链上操作时实时提示潜在风险,也会在面板页展示不同类别的风险事件。虽然在产品层面,Shield 3 还有待优化(如添加过滤层网络不够无感),但对于经常做交互(或薅毛)的朋友仍起到了预警防护的正向作用。
Shield 3 的基本功能及使用流程
Shield 3 现已上线测试版,支持以太坊主网、Polygon 两个主网及其测试网。
用户可以选择免费,付费或定制服务三种级别,对应不同的安全保障服务权限等级。下文体验均为免费服务。
概括来讲,Shield 3 通过定时扫描和监控连接到钱包的 DAPP 是否存在潜在风险(如诈骗和漏洞),并提供链上交互的总体安全评分。当发现潜在威胁时,用户会收到警报、解释和建议的操作。
首先,用户要填写邮箱,查收 API KEY,再关联钱包,并添加网络与 Shield 3 连接。具体如下图:
展开介绍下 Shield 3 的账户关联方式:其作为轻节点,通过 RPC(远程调用方式)来监控钱包的交易、交互等行为的安全性,相当于在被监控网络与钱包中间添加了额外的过滤层,确保交易安全。
但是添加额外网络的运作方式给用户初次试用带来较为不好的体验(添加网络本身也对应一定的风险,如过滤层会不会受到黑客的攻击,项目方在运营该过滤层时是否足够透明可信)。
上图是关联账户后的仪表盘,通过仪表盘可以看目前 Shield 3 服务的资金量及监控的黑客地址或攻击手段等。同时该系统会记录钱包的链上活动等。
上图是授权后,钱包的 Shield 3 使用情况。从图中可以对风险总结、授权交易次数及金额的统计评级,也可以追溯之前的交易对象等。
根据上图,可以了解目前 Shield 3 的使用流程,Shield 3 从钱包多方位(搜索、合约、监测、分析、报告、研究)提供安全保障服务。
在 Command Center 页面,Shield 3 也监控并展示了链上黑客的近期活动,体现出其较强的实时侦察能力。
体验下来,我们发现,Shield 3 的用户体验较为繁琐,需要每次在实际的链上操作前都先打开 Shield 3 网站、关联账户,才能使用 Shield 3 的安保服务。这是由于 Shield 3 采用的 RPC 方式需要经常更新远程调用权限,以确保钱包地址的稳定安全。但刨除体验,该产品最起码为我们在尝鲜新协议或高频操作时,起到了风险预警的作用。
