360 vệ sĩ của ngành mã hóa? Một bài viết tổng hợp 11 "plug-in chống lừa đảo"

Biên tập bản gốc: Colin Wu

Biên tập bản gốc: Colin Wu

Vào ngày 28 tháng 1, tài khoản Twitter của Azuki đã bị hack, khiến người hâm mộ của anh ấy kết nối với các liên kết lừa đảo, hơn 122 NFT đã bị đánh cắp và thiệt hại vượt quá 780.000 đô la. Vào ngày 26 tháng 1, ví của Kevin Rose, người sáng lập dự án NFT Moonbirds, đã bị đánh cắp. Khoảng 40 NFT đã bị đánh cắp và thiệt hại vượt quá 2 triệu đô la Mỹ. Tài sản được cấp phép bởi OpenSea. Vào ngày 15 tháng 1, @NFT_GOD đã nhấp vào liên kết quảng cáo lừa đảo trên Google, dẫn đến việc tất cả tài khoản (twitter phụ, v.v.), tiền điện tử và NFT bị đánh cắp.

liên kết gốc

liên kết gốctiêu đề phụ

Các plugin phổ biến (hơn 10 nghìn lượt cài đặt)

1. PeckShieldAlert: Hơn 50 nghìn lần cài đặt, giao diện tiếng Trung và tiếng Anh. Sản phẩm của nhóm PeckShield.

Trang web cho thấy số lượng địa chỉ độc hại bao gồm là 1.286.478 và số lượng trang web lừa đảo bao gồm là 90.931 và nó liên tục được cập nhật. Hiện tại chỉ có hai chuỗi ETH và BSC được hỗ trợ.

Các chức năng được bao gồm: Giám sát hợp đồng mã thông báo, quản lý ủy quyền ví, chủ động bảo vệ chống lại các mối đe dọa mã thông báo lừa đảo, chủ động bảo vệ chống lại các mối đe dọa từ trang web lừa đảo, phát hiện tên miền đáng tin cậy, phát hiện trình cắm độc hại và các chức năng trang web chống lừa đảo khác.

2. Pocket Universe: Hơn 20.000 lượt cài đặt, có sẵn cho Firefox, Microsoft Edge, Google Chrome và các trình duyệt khác, chỉ áp dụng cho mạng chính ETH. Tuyên bố có sự hợp tác với ví Metamask và Coinbase.

Các tính năng đi kèm: phát hiện các giao dịch Seaport độc hại, Honeypot NFT và các trang web lừa đảo.

Đặc điểm sử dụng: Không liên kết ví, xác minh tính bảo mật của giao dịch bằng cách mô phỏng giao dịch, ảnh hưởng nhẹ đến tốc độ giao dịch (không quá 1 giây).

3. Revoke.cash: Hơn 10 nghìn lần cài đặt, giao diện tiếng Trung và tiếng Anh. Hoạt động với tất cả các chuỗi dựa trên EVM, chẳng hạn như Ethereum, Polygon và Avalanche và có thể được sử dụng trong các trình duyệt như Firefox, Microsoft Edge và Google Chrome.

Các tính năng đi kèm: các cảnh báo sẽ bật lên đối với các giao dịch trên các trang web giao dịch NFT không nằm trong danh sách trắng và các trang web lừa đảo; có thể thu hồi ủy quyền.

4. Fire: Hơn 10 nghìn lượt cài đặt, phù hợp với mạng chính Ethereum và Polygon. Tương thích với ví MetaMask và Coinbase, hoạt động với mọi ví Ethereum.

Cách thức hoạt động: Bằng cách mô phỏng các giao dịch ERC-20, ERC-721 và ERC-1155 bị ảnh hưởng của người dùng, hệ thống sẽ theo dõi liệu giao dịch được quét có an toàn hay không.

Plugin thích hợp (dưới 10 nghìn lượt cài đặt)

1. Wallet Guard: Hơn 6 nghìn lượt cài đặt, được ươm tạo bởi Binance Labs.

Các tính năng: Chặn quyền truy cập vào các trang web được tạo gần đây và có độ tin cậy thấp, tự động vô hiệu hóa các tiện ích mở rộng độc hại, theo dõi và chặn quyền truy cập vào các trang web lừa đảo.

2. MetaDock: Số lượng cài đặt là 3k+, code mã nguồn mở, sản phẩm của công ty bảo mật BlockSec team.

Chức năng: Chỉ hỗ trợ BTC, ETH, BSC, Polygon, Fantom, Arbitrum, Cronos, Avalanche, Optimism, Moonbeam public chain và Opensea. Bạn có thể xem dòng tiền trong địa chỉ, theo dõi rủi ro của các bộ sưu tập NFT và tương tác với các sản phẩm như Debank và NFTGo.

3. Blockem: 930 lượt cài đặt

Chức năng: Giao dịch mô phỏng thuật toán AI và chấm điểm địa chỉ

4. Metashield: Số lượng cài đặt là 864, mã nguồn mở và là dự án đầu tiên được BuidlerDAO ươm tạo.

Nguyên tắc hoạt động: xác định phê duyệt và gửi giao dịch, đồng thời giúp người dùng cảnh báo và chặn các trang web lừa đảo thông qua danh sách đen trắng và kiểm tra trạng thái của các địa chỉ được ủy quyền. Không cần kết nối ví, không cần ủy quyền.

5. Stelo: Số lượt cài đặt là 628, mã nguồn mở và phù hợp với mọi trình duyệt dựa trên Chromium.

Cách thức hoạt động: Stelo tạm dừng các yêu cầu giao dịch được gửi tới Metamask bằng cách gói đối tượng Javascript window.ethereum mà Metamask đưa vào trang. Sau khi người dùng phê duyệt giao dịch trong Stelo, nó sẽ tiếp tục yêu cầu Metamask và nếu người dùng từ chối nó, nó sẽ hủy yêu cầu.

6. Sniffer Scam: Số lượt cài đặt là 615 và mã nguồn mở.

Các chức năng đi kèm: API phát hiện (giám sát các hành vi độc hại như chuyển tài sản của người dùng và yêu cầu ủy quyền), giao dịch mô phỏng, v.v.

7. Cảnh báo Beosin: 291 lượt cài đặt, được phát triển bởi nhóm của Beosin, một công ty kiểm toán bảo mật chuỗi khối.

Tóm tắt hàng tồn kho

Cosine, người sáng lập SlowMist, nói rằng anh ấy đã tập trung vào Scam Sniffer, Revoke.cash, Wallet Guard, Pocket Universe và Fire.

Ứng dụng có số lượng người dùng lớn nhất và các chức năng đầy đủ nhất là PeckShieldAlert. Nhưng xét về số lượt cài đặt thì gần như không đáng kể so với MetaMask 10 M+ và Phantom 2 M+. Ngoài ra, không có thông tin tài chính nào trong lĩnh vực này, điều này cho thấy rằng không có sự quan tâm thực sự nào từ quan điểm của người dùng hoặc nhà đầu tư.

Thành viên nhóm SlowMist @IM_ 23 pds Ý kiến:

Các cuộc tấn công lừa đảo vào ngành công nghiệp blockchain chủ yếu phân bổ ở hai điểm: tên miền và chữ ký, và 90% các cuộc tấn công lừa đảo NFT có liên quan đến tên miền giả mạo. Nếu người dùng mở một trang lừa đảo, các trình cắm và trình duyệt có liên quan có thể trực tiếp nhắc nhở rủi ro, do đó không có bước tiếp theo của chữ ký gian lận và rủi ro có thể bị chặn trong bước đầu tiên.

Kỷ nguyên 360 trong thế giới Web2 trước đó đã giải quyết được vấn đề virus tấn công cho người dùng mới vào thời điểm đó, nhưng nó không giải quyết được vấn đề virus ngựa thành Troy. Luôn có sự khác biệt về múi giờ giữa việc phát hiện và ngăn chặn virus (một công nghệ chuyên nghiệp để tránh sự phát hiện và tiêu diệt của phần mềm diệt virus, bạn có thể tự Google). chính xác hơn sẽ xác định mức độ sức mạnh của phần mềm chống vi-rút.

Tương tự, trong ngành công nghiệp chuỗi khối và NFT, cách xác định và nhắc nhở tình hình thời gian thực của các trang web lừa đảo trong bước đầu tiên, tốc độ phản hồi và mức độ nhận dạng ở phía người dùng cũng xác định khả năng của trình cắm chống lừa đảo ; Việc xác định những tên miền lừa đảo này trong bước đầu tiên sẽ làm tăng đáng kể nguy cơ người dùng bị mất tiền.

Trước đây, nếu ví có nhận dạng chữ ký gian lận, nó có thể hiển thị thông tin chi tiết về chữ ký của người dùng, chẳng hạn như ủy quyền cái gì, bao nhiêu, cho ai và dữ liệu con người có thể đọc được khác, đồng thời nó cũng có thể tránh bị đánh cắp ở một mức độ nhất định. mức độ. Tuy nhiên, mặc dù MetaMask hiện chiếm 80% thị phần nhưng việc phân tích thực sự khó khăn.

Mặc dù một số phân tích sản phẩm được thực hiện tốt nhưng vẫn không thể ngăn chặn việc mất tiền và NFT. Mọi sản phẩm, bài viết và lời nhắc đều là bổ sung. Chỉ bằng cách thiết lập nhận thức về bảo mật của riêng bạn, bạn mới có thể đứng ở vị trí mà bạn không bị mất xu hoặc NFT. Nhận thức về an toàn cá nhân là quan trọng nhất.

Nhà nghiên cứu chuỗi khối @tme l0 211 Quan điểm: Logic kỹ thuật của ví tự lưu trữ như MetaMask là giúp người dùng giữ khóa riêng cục bộ một cách an toàn, xử lý chữ ký giao dịch của người dùng, cung cấp cổng để kết nối với các mạng chính của chuỗi khối lớn và tạo điều kiện thuận lợi cho các tương tác hợp đồng thông minh như khi DeFi chờ đợi. Về lý thuyết, có thể nhúng bất kỳ dịch vụ bổ trợ nào giúp tối ưu hóa trải nghiệm mà không ảnh hưởng đến chức năng tương tác chuyển ví. Sàng lọc địa chỉ chống lừa đảo chỉ có thể được coi là một trong những yêu cầu cứng nhắc.

Tuy nhiên, các chức năng của các sản phẩm ví chính thống hiện tại rất đơn giản và chúng rất hạn chế trong việc tối ưu hóa dịch vụ. Những lý do như sau:

1. Bị ảnh hưởng bởi tải trọng thông tin khách hàng, tương tác với thiết bị đầu cuối di động cần ngắn gọn hơn so với trình cắm trình duyệt; 2. Bị ảnh hưởng bởi sự đồng thuận phi tập trung, trang web lừa đảo, cơ sở dữ liệu danh sách đen, v.v. cần hỗ trợ vận hành và bảo trì tập trung, điều này sẽ tạo ra sự đồng thuận 3 . Bị ảnh hưởng bởi xu hướng thương mại hóa, tầng lửng dịch vụ dù có thể tối ưu hóa trải nghiệm nhưng rất khó để thương mại hóa.

Hiện tại, các plugin bảo mật trình duyệt chính trên thị trường hầu hết được cung cấp bởi các công ty dữ liệu bảo mật bên thứ ba: trải nghiệm tốt nhưng mức độ phổ biến là chưa đủ. Các em đều có ước mơ trở thành nhân viên bảo vệ 360 bảo vệ web3, dù con đường còn dài và nhiều khó khăn:

1. Plug-in cung cấp dịch vụ plug-in cũng tiềm ẩn rủi ro bảo mật và sự đồng thuận đáng tin cậy của nó cần thời gian để tích lũy 2. Người dùng tích cực thường giao dịch trong môi trường DEX hoặc Mint NFT hiện có nhận thức bảo mật yếu và thói quen người dùng 3. Các thách thức về vận hành và bảo trì cập nhật trang web lừa đảo và cơ sở dữ liệu địa chỉ danh sách đen là rất lớn;

Theo ý kiến ​​​​của tôi, tường thuật về ví nên có xu hướng được phân đoạn theo chiều dọc. 1. Ví tối giản dành cho chuyên viên máy tính 2. Ví chống lừa đảo tương tác an toàn cho người mới bắt đầu 3. Ví có thể tùy chỉnh cho các tổ chức 4. Ví MPC 5. Ví hợp đồng thông minh, v.v.

Nhưng trong mọi trường hợp, điều này không mâu thuẫn với thị trường dịch vụ plug-in bảo mật, ở giai đoạn này, chúng cùng tồn tại và bổ sung cho nhau, tôi tin rằng một plug-in bảo mật trình duyệt xuất sắc cuối cùng sẽ trở thành một cấu hình tiêu chuẩn như một chiếc ví.