Web 3.0 防钓鱼白皮书
Coucou
0x39bC
June 16th, 2022

引言

先看一组数据:

  • 2021年,83%的组织报告称遭遇了网络钓鱼攻击。到2022年,预计还会发生另外60亿起攻击;2020年,大约有214345个独特的网络钓鱼网站被识别出来,自2020年初以来,近期网络钓鱼攻击的数量已经翻了一番。
  • 大约90%的数据泄露都是由网络钓鱼引起的;大约65%的网络攻击者利用鱼叉式网络钓鱼电子邮件作为主要攻击媒介。在网络钓鱼攻击恢复方面,IBM 发布的《2021年数据泄露成本报告》发现,网络钓鱼是企业需要应对的第二大成本高昂的攻击媒介,平均损失高达465万美元。

思科安全研究团队(Cisco Talos)近期发布的一份报告中提到:社会工程攻击是那些采用加密货币、区块链和去中心化应用程序来满足其业务需求的人所面临的主要威胁——由于 NFT、DApps 均基于区块链技术,弱点变成了代币的所有者,而占领这个弱点的最简单方法是欺骗他们交出凭证。“当用户第一次适应新技术时,最大的风险之一是社会工程的威胁,”报告中解释道,“不熟悉的技术往往会导致用户做出错误的决定。Web 3.0 也不例外。”

反观历史,网络钓鱼是伴随上一代互联网浪潮兴起的社会工程学骗局,经过数十年的演变已经自成一体,有着成熟手法和工具。互联网革命对社会工程的影响也许没这么剧烈——尤其在骗局频发的当下,我们研究历史、研究攻防、研究钓鱼项目和解决方案,必是无本万利的 Web 3.0 冲浪之道。


1.0 网络钓鱼的源起与发展

1.1 网络钓鱼:基于 Web 2.0 浪潮的社会工程学源起

社会工程技术一直就是犯罪教科书的一部分。最早的网络钓鱼案例发生在90年代初期,攻击者将曾经流行的 AOL 平台锁定为目标,使用即时消息诱骗用户透露他们的口令。这些攻击者锁定高价值目标的耗时不算太长,毫无戒备的受害者在“不验证账单信息就马上删除账户”的压力之下,往往很快就什么都吐露了。进一步演化,犯罪团伙不仅能获得受害者的 AOL 凭证,他们的银行账号和支付卡信息也不能幸免。

网络钓鱼伴随着粗制滥造的电子邮件进入主流,这些邮件满是拼写错误、低分辨率的图片和设计问题,用户好像很容易就能分辨出这些所谓的“迹象”。可怕的是,用户习惯于将拼写错误等同于网络钓鱼,而将拼写、语法和展示无错的网站默认为合法的。

而据 Proofpoint 的《2020年网络钓鱼状态报告》显示,美国65%的企业组织在2019年遭遇网络钓鱼攻击得逞。这不仅表明企业与个人需要重视安全意识培训;还表明网络钓鱼攻击已经是一项成熟且高明的诈骗手段。Wombat Security Technologies 在《2016年网络钓鱼状态报告》开篇中提示到:点击率最高的网络钓鱼活动涉及的话题,都是人们在日常工作中经常遇到的那些,包括物流确认和 HR 文书。而且并非所有的网络钓鱼骗局都以相同的方式运作――有些是普通的电子邮件轰炸,另一些则经过精心设计以攻击特定类型的人群。

接下来我们将从最基础的钓鱼手法出发,探索 Web 2.0 时代钓鱼手法的演进。

1.2 Web 2.0 时代成熟钓法演进

1.2.1 最基础钓法:群发钓鱼邮件

群发钓鱼邮件是最常见(也是最低端)的网络钓鱼形式。攻击通常依赖电子邮件进行,即伪造电子邮件标题(发件人字段),好让邮件看起来像是由可信任的发件人发送的,并试图诱骗收件人执行某种操作,通常是登录网站或下载恶意软件。需要注意的是,群发钓鱼邮件常通过钓鱼链接、恶意软件和克隆邮件的方式发起攻击:

  • 钓鱼链接:在邮件内嵌入钓鱼链接,并且通常情况下会在邮件中或者在打开的链接页面中要求用户输入帐号信息来查看订单或样本(如仿冒快递通知邮件、密码将过期的警告消息)。在云存储应用日益广泛的今日,攻击者很容易仿冒 Office 365、Google Drive 和Dropbox链接,并暗示导引受害者到虚假账户登录页面。
  • 恶意软件:PhishMe的2016第1季度《恶意软件综述》发现,有记录的所有网络钓鱼邮件中,92%都含有某种加密勒索软件。到了第3季度,该数字增长到了97%。恶意软件通常被称之为“病毒”,Html、exe/scr、Doc、Excel、PDF、Zip/Rar 等属性的附件均可能携带病毒执行程序。
  • 克隆邮件:攻击者创建与合法邮件几乎一模一样的副本,以诱骗受害者信以为真。电子邮件是从类似合法发件人的地址发送的,邮件正文与上一封邮件相同;唯一的区别是附件或邮件中的链接被换成了恶意附件或链接。攻击者可能会以需要重新发送原始或更新版的内容为借口,解释受害人为何再次收到“同样”的邮件。

1.2.2 高价值攻击:鱼叉式网络钓鱼

之所以用“鱼叉式”比喻,因为该类攻击者专门针对高价值的受害者和企业组织下手。有政府撑腰的攻击者可能盯上为其他国家的政府机构效力的雇员或政府官员,以窃取国家机密。传统网络钓鱼采用广撒网战术,寄希望于中奖似的机会,而鱼叉式网络钓鱼攻击的成功率极高,因为攻击者花大量时间来制作专门针对收件人的信息,比如介绍收件人可能刚出席的会议或发送恶意附件,其中文件名提到了收件人感兴趣的主题。

鱼叉式网络钓鱼通常针对具有访问有价值数据权限的人。大多数情况下,没有发件人策略框架(SPF,一种电子邮件身份验证系统)的公司会成为这种攻击的受害者。利用收集到的信息和开源情报(OSINT)馈送,黑客为精选出来的受害者精心编制个性化的诱饵邮件。由于诱饵邮件如此与众不同,传统信誉和垃圾邮件过滤往往检测不出其中包含的恶意内容。鱼叉式网络钓鱼攻击还能结合进发家伪造、多态URL和偷渡式下载来规避常规防护措施。这些电子邮件可能看起来像是来自受信任的公司平台,并且还包含高度个性化的上下文以欺骗收件人;上下文可能包括此人参与的最新项目、参与此项目的团队成员以及用于创建文档的软件版本。在商业场景中,一旦首批受害者的计算机遭到入侵,攻击者就可以访问公司网络以扩展网络钓鱼攻击。

1.2.3 大目标定点:鲸钓攻击

CEO、部门主管和其他高管代表着公司的大鱼,专门针对企业高管的网络钓鱼攻击名为鲸钓攻击,目标是窃取数据、员工信息和现金。鲸钓攻击中,黑客发送的邮件都带有精心制作的托辞——往往围绕“紧急电汇”或“金融交易”编织而成。因此,鲸钓攻击往往被等同于 CEO 诈骗和商业电子邮件入侵(BEC)骗局。据反网络钓鱼工作组的《2020年第二季度网络钓鱼活动趋势报告》显示,“商业电子邮件入侵(BEC)攻击导致的电汇损失平均额在增加:2020年第二季度企图电汇的平均额为80183美元。”

具体来说,攻击者通常通过利用现有感染或通过鱼叉式网络钓鱼攻击,入侵公司高管或财务人员的电子邮件账户。攻击者潜伏下来,对高管的邮件活动监视一段时间,以摸透该公司内部的流程和程序。同时还需要更深入地研究目标受害者与谁联系、在进行哪种讨论,如提到客户投诉、法律传票甚至公司管理层问题。实际的攻击采取虚假邮件的形式,虚假邮件看起来像是从中招高管的账户发送给常规收件人的邮件。邮件似乎很重要很紧迫,要求收件人立马电汇到外部或陌生的银行账户。这笔钱最终进入到攻击者的银行账户。

1.2.4 多元媒介,同一思路:社媒、电话、短信钓鱼

  • 社交媒体钓鱼

Proofpoint《社交媒体品牌欺诈报告》中发现,与10家全球品牌有关的社交媒体账号中,近20%都是虚假的。2016年末,Proofpoint 报道了网络罪犯冒用英国银行客户服务部门Twitter:这些高级黑客模仿了银行员工的命名惯例、可见资产和特殊习惯;攻击者利用真实客服账号相似的昵称,创建极具可信度的虚假客服账号,然后等待客户向真实账号求助;当客户试图联系公司时,罪犯就会通过发自虚假支持页面的虚假客户支持链接来劫持对话。

  • 电话语音钓鱼

受害者通常接到电话,语音消息伪装成了金融机构发来的信息。比如说,消息可能要求收件人拨打号码,并输入他们的账户信息或 PIN(出于安全或其他官方目的)。但是,电话号码通过 IP 语音服务直接拨入到攻击者。在2019年一次狡猾的语音钓鱼骗局中,犯罪分子打电话给受害者,冒充是苹果技术支持人员,向用户提供了一个解决“安全问题”的电话号码。就像老套的 Windows 技术支持骗局一样,这个骗局正是利用了用户担心设备被黑的心理。

  • 短信网络钓鱼

由于人们阅读和回复短信的可能性比电子邮件高,因此短信钓鱼日益猖獗:人们阅读98%的短信和回复45%的短信,而阅读邮件和回复邮件的比例分别只有20%和6%。用户对于移动设备安全并不像办公 PC 安全那么留意,而个人设备通常缺少 PC 安全技术。类似于电子邮件钓鱼,这种网络攻击使用误导性的短信来欺骗受害者。目的是诱骗人们以为信息是可信任的人或组织发来的,然后说服你采取行动,让攻击者可以获得可利用的信息(比如银行账户登录信息)或访问你的移动设备。

1.3 Web 3.0 时代钓鱼手法:换汤不换药

Web 3.0 时代的“钓鱼攻击(Phishing)”,依然指的是攻击者伪装成可以信任的人或机构,通过邮件、通讯、社媒等渠道骗取受害者的用户名、密码、私钥、钱包地址等私密信息。Web 3.0 的安全性在很大程度上取决于区块链做出承诺的特殊能力和对人类干预的弹性,但由于交易通常是不可逆的,使其成为了攻击者越来越垂涎的目标。同时,网络钓鱼成功依赖于低技术含量的智力游戏,而不是复杂的漏洞或对单一系统的集中攻击。对于没有知识或技术专长的人,欺骗账户所有者交出他们的密钥可能是窃取Web 3.0红利的最有效方法。

而在实施钓鱼行为时,这场低技术的社会工程游戏明显表现出串联 Web 2.0/3.0 的相似性:

1.3.1 基础钓法迭代**——Web 3.0**项目域名仿冒、恶意空投和克隆钱包

在分析 Web 2.0 钓鱼邮件时,我们提到其中三个基础方式:钓鱼链接、恶意软件和克隆邮件。转换到 Web 3.0 时代中,他们分别转换为了项目域名仿冒、恶意空投和克隆钱包。

项目域名仿冒的本质依然是制作一个以假乱真的钓鱼网站,这也是普通用户最常遇到的 Web 3.0 钓鱼方式。更多的项目网站域名被仿冒制作成钓鱼链接,特别是利用投机者 FOMO(Fear Of Missing Out)的心态让其深受其害。思科安全研究团队(Cisco Talos)也在近期研究中强调仿冒或冒充以太坊服务域(ENS)等技术属重大威胁。具有代表性的案例是2018 年乌克兰的一黑客组织,通过购买谷歌搜索引擎中与加密货币相关的关键词广告,伪装成合法网站的恶意网站链接,窃取了价值超过 5000 万美元的数字加密货币。

另外,攻击者将恶意软件转换成恶意空投,利用链上收件人无法拒绝空投的属性,诱导受害者访问加密钱包。“人们正在被空投代币,并被引导到一个声称是分布式交易所的网站,” 区块链分析公司 Elliptic 的联合创始人 Tom Robinson 在一封电子邮件中提到,“这引诱他们到一个网站,在那里他们被告知他们可以出售他们得到的代币——但该网站实际上窃取了他们钱包里的任何东西。”

最后,从克隆邮件到克隆钱包,攻击者诱骗用户泄露他们的助记词,从而窃取存储在加密钱包中的所有资金。近期一个案例是 Twitter 机器人要求用户在 Google 表单上提供他们的助记词,作为帐户恢复过程的一部分,而毫无戒心的受害者的钱包被攻击者复制相同的助记词立即耗尽。

1.3.2 多元媒介迭代**——Web 3.0**社媒:Discord

Web 2.0 时代,钓鱼依赖于邮件、语音、短信、Twitter 等渠道,而步入Web 3.0社媒,以上提到的渠道依然活跃,而更多臭名昭著的攻击开始借助 Discord 及其社区机器人展开。

黑客曾控制了超级受欢迎的 NFT 收藏 Bored Ape Yacht Club、NFT 交易平台 OpenSea 和其他几个平台的官方 Discord 服务器。在这些案例中,一旦黑客控制了服务器,就控制了受到社区信任的管理员的机器人。然后,他们开始通过这些机器人发布虚假公告,欺骗受害者放弃他们的加密货币或 NFT。

此外,Discord 钓鱼攻击通常还涉及社交工程。在针对 Bored Ape Yacht Club Discord 服务器的黑客事件中,骗子接管了管理员账户,并在 YouTube 上发布了一个虚假 NFT 投放链接,诱使希望提前参与新系列的热心投资者放弃对其钱包的控制。


2.0 Web 3.0 钓鱼攻防论

2.1 攻:钓鱼攻击设计方法论

正如查理芒格强调的逆向思维:“如果我知道我会死在哪儿,那我一辈子都不会去那里”。防范或规避钓鱼攻击,我们首先要深刻理解钓鱼攻击设计的要素。钓鱼攻击需要什么?作为一个传承了30余年的“产品”,其核心组件的拆解并不复杂,一个优秀的钓鱼攻击仅需包含以下四要素:令人信服的钓鱼网站、完美的诱骗借口、有效的触达渠道、特殊的反钓鱼工具。

2.1.1 令人信服的钓鱼网站

攻击者在网络钓鱼攻击中使用的最常见技巧之一就是创建一个知名品牌的虚假官方页面(如NFT mint)。攻击者倾向于从真实网站复制设计元素(如组织的徽标以及相关的登录表单),这就是为什么用户很难区分虚假页面和官方页面的原因。甚至网络钓鱼页面的域名也常常看起来像某个品牌的真实网址,因为诈骗者在 URL 中包含了他们冒充的公司或服务的名称。这个技巧被称为组合抢注,其特点是通过向知名域名添加其他关键词的方式,构造并注册新的域名;这种域名可以用于钓鱼、恶意软件传播、APT 攻击、品牌滥用等行为。

2.1.2 完美的诱骗借口

一个完美的诱骗借口是钓鱼成功与否的关键因素。因此在实施钓鱼攻击之前需要做充足的信息收集,一方面是针对高价值受害者发起鱼叉式攻击时,黑客可以长时间关注他们的社交账户(如Twitter & Discord)和链上数据;另一方面是充分利用大众的 FOMO 心态,在项目开售的前后1-2天,甚至前后数小时内将虚假 mint 链接送达手中。Web 3.0 时代设计完美的诱骗借口目的非常明确,是让受害者在虚假网站或虚假地址完成钱包授权、虚假交易或安全授权等操作。因此往往需要伪装成合法且紧迫的请求,让受害者可以在慌忙中点击钓鱼链接并完成操作。

2.1.3 有效的触达渠道

加密货币攻击者可以以极快的速度执行C端攻击(只要一个错误的链接,就可以不可逆转地盗取某散户的财产),因此劫持 Discord 服务器、批量发送钓鱼邮件、Twitter 1 for 10(虚假支付返利活动)、假 App 和假工作人员等,都是同时锁定大量用户的有效方法。在当下,由于没有足够“中心化”安全保护的沟通渠道,所有社交渠道似乎都充满着风险,特别是那些可以通过机器人批量操作的沟通渠道。

2.1.4 特殊的反钓鱼工具

钓鱼网站可以被添加到反钓鱼数据库中而有效阻止,攻击者的解法之一是快速而大量生成网站,而反钓鱼工具的引入再次降低了这一行当的技术门槛。它们由现成的模板和脚本组成,可用于快速、大规模地创建网络钓鱼页面。这非常有趣,值得我们花更多篇幅来分析。通常反钓鱼工具包具有两个基本能力:

一是快速复制官方网站页面,提供攻击者现成的加载页面,并且包含它们的元素(图像、表单、网络钓鱼脚本、文本片段等),以及从这些元素创建新页面的单独脚本。二是确保受害者在钓鱼页面上输入的数据发送给攻击者,它通常是一个解析网络钓鱼数据输入表单的简单脚本。

此外,一些高级的工具包还有着更强大的反钓鱼功能。如:内嵌用户界面的控制中心,攻击者可以用此调整钓鱼页面的功能(例如指定被盗数据返回方式、多国语言界面等);用脚本在生成的页面和纯“垃圾”代码添加各种混淆选项(凯撒密码、页面源编码、字符串分割、HTML 标签属性值的随机化等),旨在使反网络钓鱼解决方案更难检测和阻止这些页面。

2.2 防:钓鱼防范策略方法论

钓鱼攻击如同魔术:一旦你理解它的手法与原理,并时刻警醒自己防范,它便变得愚蠢起来。除“保持警惕”四个字应作为防钓鱼的座右铭外,我们的防范策略主要包括两类:交叉核验与借助工具。

2.2.1 交叉核验

思科安全研究团队提到:用户和企业保护自己的最佳方式是在处理未经请求或可疑的信息和通信时采取基本的预防措施,而不是点击链接或附件,在有疑问时,直接通过电子邮件或电话与供应商联系。在钓鱼项目乱飞的今天,警惕含有催促或威胁意味的托辞,不要在直接链接跳转的网站上输入凭据或私钥显得至关重要。此外,官方社交帐号、官方 Discord、官网被单一仿冒的攻击越来越多,但是注重交叉核验三者的一致性,将极大降低钓鱼成功的概率。

2.2.2 借助工具

对于普通 C 端用户,老生常谈的方法是在交易时尽可能的使用硬件钱包,但奈何使用成本过高而常常忽略,因此各类反钓鱼插件和软件的引入,显得至关重要。我们会在本报告第三部分详细盘点市面上可用、好用的防钓鱼解决方案,希望读者都可以在自己电脑上部署一两个工具,并经常检查反钓鱼服务是启动的。

2.3 盘点 Web 3.0 钓鱼手法及案例

钓鱼攻防论的最后:再次熟悉你的敌人——Web 3.0 钓鱼。Buidler DAO 联合 Beosin 安全团队,总结出如下五类最常见的钓鱼手法及案例。

2.3.1 Web 3.0 邮件钓鱼:

  • 钓鱼手法

攻击者利用各种热点事件,如:项目合约升级、热门NFT发售、空投领取等,给用户发送伪造的钓鱼邮件。

  • 钓鱼案例

2022年2月21日,全球最大的加密数字藏品市场 Opensea 遭遇黑客攻击。攻击者利用 Opensea 升级需要对用户将其卖单进行迁移的特点,伪造钓鱼邮件提前发送给用户。如下图:

由于 Opensea 支持盲签,所以用户在签名时不了解自己签署的交易具体内容。当用户访问钓鱼邮件中的链接时,就会在钓鱼邮件的引导下对其在 Opensea 上的卖单进行签名,以 0E 的价格将 NFT 发送给攻击者。根据 Opensea 官方回复,已经有至少32名用户的 NFT 因钓鱼攻击被盗。

  • 防范手段
  1. 签名时应当明确签署内容,拒绝盲签
  2. 切勿点击可疑邮件中的任何链接、附件,或输入任何个人信息

2.3.2 高仿 NFT 域名:

  • 钓鱼手法

该类钓鱼网站主要是模仿NFT官网项目的域名和内容,是最常见的一种钓鱼方式,主要包括以下三种类型。

  1. 保留主域名仅更换顶级域名,如:https://invisiblefriends.ch/
  2. 主域名添加单词或符号进行混淆,如:http://othersidemeta-airdrop.com/
  3. 添加二级域名进行混淆,如:https://okaybears.co.uk/
保留主域名仅更换顶级域名
保留主域名仅更换顶级域名
主域名添加单词或符号进行混淆
主域名添加单词或符号进行混淆
添加二级域名进行混淆
添加二级域名进行混淆
  • 防范手段
    1. 访问 NFT 官网时,需在官方社交帐号如 twitter 等上确认
    2. 安装钓鱼插件,可辅助识别部分钓鱼网站

2.3.3 MetaMask假钱包:

  • 钓鱼手法

攻击者通过伪造 MetaMask 钱包的 UI 界面诱骗用户输入密码、助记词等私密信息,造成用户私钥被盗。

  • 钓鱼案例

具体通常包括以下两种类型:

  • 在 Chrome 的插件商店上架假钱包

2018年谷歌应用商店 Chrome Web Store 下架了几款 MetaMask 假钱包。攻击者利用官方钱包在谷歌商店意外下架的事件,伪造好几款假钱包。如下图所示:

  • 在钓鱼页面上构造假钱包

攻击者诱导用户打开精心构造的钓鱼网站,该网站会像正常项目一样自动唤起钱包,但是该钱包也是攻击者伪造而非官方钱包,如果用户在该假钱包上输入密码或助记词,就会导致真钱包被盗。

  • 防范手段:
    1. 谨慎识别 MetaMask 钱包,尤其地址栏等重要位置
    2. 通过官方渠道下载 MetaMask 钱包,并进行交叉验证

2.3.4 Discord 假机器人:

  • 钓鱼手法

在用户加入某官方 Discord 社区后,攻击者伪造的机器人给用户发送虚假身份验证信息等,要求用户输入个人信息。

当用户点击机器人发送消息中的钓鱼身份链接时,会自动弹出一个伪造的 Metamask 钱包,要求用户输入密码。如果用户输入了正确的密码,则该密码会被传递到攻击者的服务器上,导致用户钱包的私钥泄露。

  • 防范手段
  1. 警惕需要进行身份验证的机器人
  2. 提高安全意识,官方机器人不会要求在 DM 中进行身份验证

2.3.5 官方 Discord 被盗 ****:

  • 钓鱼手法

攻击者首先盗取 NFT 官方 Discord 账号,再通过该账号发布钓鱼链接。

  • 钓鱼案例

案例一:2022年3月14日,Wizard Pass NFT 项目的 Discord 服务器遭遇黑客攻击。攻击者通过浏览器恶意书签绕过浏览器同源策略,获取到项目的 Discord token,利用该 token 对应的账号发布钓鱼链接。

攻击者构造的浏览器书签中包含一段恶意 JavaScript 代码,当用户通过点击触发了该恶意代码时,就会执行当前浏览器标签页中用户所在的 Discord 域并窃取其 token。之后攻击者可以利用该token控制Discord账户发布钓鱼链接。据悉被盗的 NFT 包括 BAYC、Doodles 和 Clone X 等。

案例二:2022年5月23日,MEE6 项目的官方 Discord 遭遇黑客攻击。攻击者通过盗取官方Discord 账号,在官方群中发布 mint 钓鱼链接诱导用户点击。

案例三:2022年5月6日,Opensea 官方 Discord 遭受攻击,黑客利用机器人账号在频道内发布虚假链接,并声称“OpenSea与YouTube达成合作,点击链接可参与铸造限量100枚的 mint pass NFT”诱导用户点击链接。

  • 防范手段
  1. 作为项目方,应使用双因素认证、设置强密码等安全操作来保护账户;项目方要警惕针对自己的各种传统网络和社会工程学攻击,避免下载恶意软件,避免访问钓鱼网站。
  2. 作为 web3 用户,应首先具备这样的意识:官方 discord 账户被盗越来越频繁,官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。此外,在任何需要自己授权或交易的地方都需要谨慎,尽量从多个渠道进行信息交叉确认。

3.0 Web 3.0 防钓鱼解决方案

3.1 去中心化的实时自动扫描工具:Forta

3.1.1 厂商背景:

Forta 是行业领先的去中心化安全服务的提供商,于2021年10月1日公开了融资消息, 由A16Z领投,Coinbase Ventures、True Ventures、OpenZeppelin和Blockchain Capital等机构跟投。

3.1.2 产品简介:

Forta 的基础是一个由独立节点组成的分散网络,他们扫描所有交易和逐个区块的状态变化,以寻找异常交易和威胁。当检测到一个问题时,节点操作员向用户发送潜在风险的警报,这使他们能够采取行动。目前 Forta 支持多链运行,包含 Ethereum, Avalanche, Polygon, BNB Chain, Fantom, Arbitrum, and Optimism等L1&L2。

Forta 的核心是监测机器人,这些机器人是指 Docker 容器中的一组代码脚本,用于处理某些区块链数据(即区块或交易)并检测特定威胁条件(例如,是否发生了闪电贷款攻击,或者特定账户余额是否低于某个阈值)。机器人由扫描节点执行,机器人会针对这些威胁条件自动发现发出警报。机器人的主要监控类型为运行监控(操作性能监控)与威胁监控(恶意事件警报)。

3.1.3 如何使用:

用户可以使用 SDK 在 Forta 上开发和部署自己的监测机器人,Forta 提供了许多监测机器人的示例与模板;同时用户可以直接使用市面上现存的监测机器人。以 Olympus DAO 为例,Forta 上现有11个针对 Olympus DAO 的机器人,会对 policy function call、Ownership change、Price Change 等事件进行监测预警。

用户可以通过各种应用程序订阅Forta数据源,包括 Forta App、OpenZeppelin Defender,或直接使用公共Forta API。Forta APP 允许用户使用 Forta 服务来监管自己的钱包或者合约:

作为用户可以通过 Email/Discord 等形式收到 Forta 的提醒:

产品评价:

Forta 是一款构想非常好的产品,并且得益于背后的技术团队以及和 Openzepplin 这个行业龙头良好的关系,Forta 将去中心化安全协议与监测这个构想给落地了。Forta 通过检测机器人的形式提供了实时且全面的 Web3 监控来保护Protocols,机器人的高度定制化与所有人都可以参与编写的特性又为 Forta 的安全监控带来了很高的灵活性。除此之外, Forta 由经济激励机制调整和驱动的去中心化节点网络,提供了整体的去中心化程度以及可靠性。

对于 Web3 中一些常见的Web3钓鱼与攻击 Forta机器人都能良好的预警与应对,并且并没有什么额外的使用成本,总体这是一款值得推荐的产品。

3.2 服务开发者的安全组件:OpenZeppelin Defender

3.2.1 厂商背景:

OpenZeppelin 是最顶尖的区块链安全公司之一,为 Compound, Maker,AAVE 等提供了安全审计服务;此外,OpenZeppelin 还推出了自己的安全产品 Contract 和 Defender,为流行的智能合约标准开发了一组合约,这些合约经过了大量的测试和安全审查,已经成为了 Web3 开发者不可或缺的一部分。

3.2.2 产品简介

OpenZeppelin Defender 是支持多条公链的安全组件,让开发者可以通过安全的方式实现智能合约运行的自动化,降低用户的风险。Defender 主要有下面五种安全组件:Admin, Relay, Sentinel, Autotask与Advisor。

  • Admin —— 实现智能合约运行过程的自动化以及权限控制
  • Relay —— 通过具备私有中继器部署、安全的私有交易基础设施进行构建
  • Autotasks —— 创建自动化脚本,与智能合约交互
  • Sentinel —— 监控智能合约的事件与交易,并自动进行通知
  • Advisor —— 学习并应用开发、测试、监控及运行等环节的最佳实践

3.2.3 如何使用:

OpenZeppelin Defender 的主界面,可以使用不同的组件并导入不同的合约。

3.2.4 产品评价:

OpenZeppelin 公司的技术能力在区块链安全领域是最顶尖之一,产品本身完成度非常高;唯一的缺点是主要的问题是这个产品主要是在保护项目方和开发者,无法很好的应对当前针对 Web3 普通用户们的很多钓鱼手段。

3.3 浏览器安全插件:Phishfort

3.3.1 厂商背景:

Phishfort 是一家反网络钓鱼解决方案提供商,Phishfort的安全服务针对所有涉及加密行业的公司,包括 Opensea, Metamask, Binance 的数字资产交易所、ICO和代币发行平台,主要为他们提供反网络钓鱼解决方案。2019年 Binance Labs 对 Phishfort 进行了投资。

3.3.2 产品简介:

Phishfort的主要产品为防钓鱼安全软件与插件,有网站防护、手机APP防护、社交媒体防护以及浏览器保护插件这四个主要产品。Ultimate Protection系列的产品的服务对象主要是网站、app的持有人,算半个To B的产品;浏览器插件主要服务对象是Web3用户。

插件功能解析:

  • 功能1:在不同网站上时插件会有不同的展示样式,在信任的网站上是safe,在不信任的网站上是unknown或者dangerous。
  • 功能2:网站安全搜索:可以搜索到正确的网站,杜绝钓鱼网站。
  • 功能3:Twitter 认证标识

3.3.3 如何使用:

用户应当基于不同的身份和需求选择不同的产品,对于Web3用户们为了防钓鱼主要使用的会是浏览器插件。该插件具体使用方法较为简单,跟着指引一步步安装就好。请注意当前该插件仅支持Firefox, Chrome & Brave, 别的浏览器目前是不支持的。

3.3.4 产品评价:

Phishfort是一款简单好用的工具,如果你没有很强的技术背景,仅仅是为了在黑暗的Web3森林中保护你的资产的话可以尝试一下Phishfort这款防钓鱼的工具。

3.4 Web3反钓鱼数据库:MobyMask

3.4.1 厂商背景:

在今年的 ConsenSys Cypherpunk Hackathon 上,MetaMask 创始人Dan Finlay就发表了一个名为 MobyMask 的预防网络钓鱼的项目。

3.4.2 产品简介:

MobyMask旨在建立一个去中心化的可委托的信任网络,它允许用户签署链下信息,并且这些链下信息会给予他人不可转让的权力。说人话就是,你可以在 MobyMask 上输入钓鱼 Twitter 账号的 Twitter ID 来举报钓鱼者,同时你可以邀请你信任的人来一起共同举报那些钓鱼账号。MobyMask 通过这样方式快速的构建了几乎没有交易费用的 p2p 反网络钓鱼网络。

3.4 .3 如何使用:

用户应当基于不同的身份和需求选择不同的产品,对于 Web3 用户们为了防钓鱼主要使用的会是浏览器插件。该插件具体使用方法较为简单,跟着指引一步步安装就好。请注意当前该插件仅支持 Firefox, Chrome & Brave, 别的浏览器目前是不支持的。作为普通用户你的界面是这样的:

非常的简洁,只有两个窗口:查看是否为钓鱼账号以及是否为Member。如果你想看一个 Twitter 是不是钓鱼 Twitter,可以来这里查一下作为参考依据。如果你被邀请加入了MobyMask网络,你的界面里多了个邀请其他人的地方。MobyMask 还发了 NFT,叫 MobyMask Premiere,交易量还不小,如果要投资大家可以自行 DYOR。

3.4 .4 产品评价:

项目毕竟有 MobyMask 创始人站台,背景还是 ok 的;p2p的分布式防钓鱼数据库这个概念也是能跑通的。目前为止存在的几个问题:

MobyMask 目前的功能实在是太少了,唯一能做的就是把推特账号输进去,查一查是不是钓鱼账号;而且这个查询结果也并不 solid,可能因为数据库未及时更新等原因导致查询的结果只能作为判断的参考。

P2P 的方式来维护比较理想化,如果没有激励机制很难保证用户会长时间的来为 MobyMask 贡献数据;但如果给网络维护者激励的话,因为使用 MobyMask 并不收费,没有正向的外部收入很容易导致进入死亡螺旋。所以如果 MobyMask 想要 survive,需要开发更多的能让用户愿意付费的功能。

3.5 防钓鱼安全插件:MetaShield

3.5.1 厂商背景:

Buidler DAO 是一群 Web3 的探索者,社区的使命是真正的投身于加密行业的建设,通过 BUIDL 为 Web3 带来增量,而不仅仅是 HODL 我们当下所拥有的数字资产。Buidler DAO的愿景是:从中文社区开始,建设成为最有影响力和生产力的 Web3 人才与项目孵化器。凝聚具有相同共识的同僚,扫除建设中存在的障碍,让每个身处 Web3 的人都生活得更加美好。

3.5.2 产品简介:

MetaShield是一款由BuidlerDAO内部孵化的Web3 防钓鱼浏览器插件,尽可能保护用户的加密资产,让用户安全地享受加密世界的便利与创新。MetaShield 的核心是三层防护检测:高危行为监测、黑白名单校验、充分信息透传。具体流程为:

MetaShield 监听到用户正在进行 approve、send 这样涉及资产的高危行为

  • 检查到正在发起高危行为的网站是否存在于黑白名单中
  • 若存在于白名单,则正常放行
  • 若存在于黑名单,则进行拦截,并告知一旦点击则会发生什么
  • 若不存在于黑白名单,考虑到您的安全,也会暂时拦截,并为您注明风险提示,以及被授权地址的验证与开源状态供你进行参考判断,若你确认无误可继续执行。

MetaShield 会深入到钱包行为监测的程度,实时监测 MetaMask 的 approve、send 高危交易行为,而非仅仅监测域名,从而可以全面、及时的预警和拦截高危交易行为。其次在预警后我们会进一步获取对方地址的状态,包括开源验证等情况,从而告诉用户充分的信息:你正在做什么事,与谁做,做了的后果是什么,辅助用户进行判断。

3.5.3 如何使用:

使用 Chrome 浏览器登录 MetaShield 网址,点击下载即可

MetaShield 会在检测到高危交易时提前弹窗并提醒用户,并且会基于钓鱼网站数据库推送不同的弹窗

3.5.4 产品评价:

传统的安全插件只通过域名黑白名单匹配,但存在的问题是名单覆盖不全面,更新不及时,只有已经发生钓鱼事件并经过用户上报、管理员审核后才会纳入黑名单;MetaShield 做到了实时监测高危交易并提前终止并提示这些高危交易,真正的做到了防钓鱼这件事。


研报pdf链接:Web 3.0 防钓鱼白皮书

‍研报notion链接:

注:本报告内容并非引导读者对相关企业或产品进行投资或提供任何建议,其中的任何描述、表达或措辞均不得被解释为对该项目的肯定或确认。Buidler DAO与 Beosin 对因阅读本文之内容或牵涉所提供内容而导致的任何损失或支出,不承担任何法律责任。


研究员:@Frank @Davion @Beosin

设计:@Rui

排版:@Coucou

文章:@Buidler DAO


Arweave TX
7etStKzm62E4quIujmp2_cRuHtmehE50aPOeLagosHo
Ethereum Address
0x39bCa87F45B097a46D8541F2535eF6Ba95657DB7
Content Digest
QzoF9sdiCQFHgpQW70e_5e9KqKx-qCD-iEFC0tmbpRk