Web3 避坑指南:C 端安全十大工具

撰文:0xHankester

编辑:Crush

*全文约 1800 字,预计阅读时间为 4 分钟

Web3 通过区块链技术为用户拿回了数据与资产主权,让用户自己管理自己的信息与财产,同时也让用户进入了黑森林。在 Code is Law 的 Web3 世界中,与各种合约交互是用户的基本动作,但没有开发背景的普通用户难以识别恶意嵌入合约代码里的漏洞,极易遭受财产损失。

01

  • 错误授权:用户在与 dapp 交互时通常需要进行合约授权,某些恶意地址会发起转移资产的授权请求,若用户点击授权,则资产可以被直接转走

  • 机制改动:合约开发者可通过一系列手段更改代币机制,进行增发、销毁、改变交易税等操作

  • 貔貅合约:用户的买卖行为被限制,常见方式为自由买入,对卖出进行限制

02

十大避坑工具

针对以上问题,我们整理了十大避坑工具,帮助 Web3 用户守护好自己的资产和账户。以下工具除了 Harpie 在发生追回财产事件时需要付 0.01ETH 的固定费用,以及 MistTrack 在一个月免费试用期后需要付费订阅,其他工具均为免费。

2.1 合约风险扫描

2.1.1 功能与使用场景

功能:检测合约地址风险,快速获得简易审计报告

使用场景:在与某个 dApp 交互、或在 dex 上输入地址购买长尾代币时,如不确定其智能合约是否存在漏洞及其他风险,可在以上工具的扫描功能中输入要交互的智能合约地址,查看风险检测结果

2.1.2 项目对比

支持公链

安全能力

项目背景

综合点评

  • Go+ Security:覆盖的公链最多,且涵盖的风险指标更多,可更加全面了解潜在风险

  • Tokensiffer:同样有较多覆盖指标,同时每个指标有详细解释,可以更加深入理解风险点

  • StaySafu:风险指标和支持公链较少

2.2 钱包防钓鱼插件

Scam Sniffer

官网:https://scamsniffer.io

Pocket Universe

官网:https://www.pocketuniverse.app/

2.2.1 功能与使用场景

功能:下载安装插件后当连接钱包发起交互时,安全插件会对交互逻辑进行扫描,并弹窗告知安全扫描结果,提示风险

使用场景:某些钓鱼合约会通过空投等方式引导用户授权签名,当用户收到陌生空投想变现时,发起的交互将会被识别,并告知用户交互风险程度

2.2.2 项目对比

支持钱包:均为 MetaMask

安全能力

项目背景

综合点评:该类工具较为同质化,随着用户积累,该类项目可以积累更多风险数据,提升安全能力。

2.3 链上实时监控

Forta

官网:https://forta.org

功能:监控智能合约地址和钱包地址的状态变化,并发送状态至邮箱、Slack、Discord 等通讯软件

使用场景:用户向 Forta 输入想监控的地址,并留下通知方式,便可以获得实时的链上动态,不用实时连接钱包或查看某需要关注的合约地址

支持公链:以太坊、Polygon、BSC、Avalanche、Optimism、Fantom、Arbitrum

项目背景:Forta 由 OpenZeppelin 孵化,在 2021 年 10 月获得 A16z 领投的 2300w 美金融资,其他投资方包括 Coinbase Ventures、True Ventures、OpenZeppelin 等

2.4 授权查看与取消

Revoke

官网:https://revoke.cash/

Approved.zone

官网:https://approved.zone/

2.4.1 功能与使用场景

功能:查看授权的 NFT 和 Token,可以取消授权

使用场景:许多钓鱼智能合约会通过各种场景引导用户授权自己的签名,某些授权可能会涉及财产转移,资产有随时被转走的风险,通过该类工具,用户可以查看自己进行了哪些授权,并可以取消授权

2.4.2 项目对比

支持公链

项目背景:暂无其他信息

综合点评:该类工具较为同质化,支持公链更多的产品更方便使用

2.5 链上防火墙

Harpie

官网:https://harpie.io

功能:对资产的交易进行限制,用户可以提前设置受信任的网络、应用或朋友的地址,如果有资产被转到受信任地址之外的地址,Harpie 会在执行过程中阻止交易

使用场景:当用户想进一步降低资产被转移的风险时,可通过 Harpie 选择要保护的资产,并设置该资产可以转移的白名单地址,当该资产被转向白名单之外的地址时,交易会被阻断

支持公链:以太坊

项目背景:2022 年 9 月底,Harpie 完成 450 万美元种子轮融资,Dragonfly Capital 领投,Coinbase Ventures 和 OpenSea 等参投

2.6 链上安全数据分析

MistTrack

官网:https://misttrack.io

功能:分析目标钱包地址的关联交易、资金流向等链上信息,综合评估地址风险,同时也能监控某地址,获得状态变化推送

使用场景:可以分析自己地址的相关信息,查看是否与风险地址交互过,分析潜在的安全隐患;在发生财产损失后,对损失财产转入地址进行查看,分析被攻击的方式,吸取教训

支持公链:以太坊、BSC、Polygon、Avalanche、Tron、IoTeX

项目背景:该项目是由慢雾科技推出的 C 端安全产品

03

总结

对于刚加入 Web3 世界的新人来说,安装防钓鱼钱包插件是十分必要的,能够让新人充分意识到潜在的风险,从入门就建立好安全意识。对于更加熟悉 web3 世界的 “老韭菜”,在冲项目前,也应该先扫描项目风险冷静一下,避免被割得不明不白。最后,愿我们在 Web3 黑森林里安全生存,收获满满!

END

关于我们

Biteye 是一个海外的 Web3 学习研究型社区,以社区驱动的方式来产生内容和工具,并通过 DAO 的方式来治理和激励!

微信群:添加小助手 @Biteye01 入群

Twitter:@BiteyeCN

Discord:discord.gg/Biteye

*声明:本文分享内容仅作学习交流,不构成任何投资建议,且不代表 Biteye 立场。喜欢我们的文章,就点击下方的名片关注我们吧!

Subscribe to Biteye
Receive the latest updates directly to your inbox.
Mint this entry as an NFT to add it to your collection.
Verification
This entry has been permanently stored onchain and signed by its creator.
Author Address
0x30bF18409211FB0…27052c93cF329F2
Content Digest
ya4RM0_IZuLq0cX…A7sSQkH96015z0w