Web3通过区块链技术为用户拿回了数据与资产主权,让用户自己管理自己的信息与财产,同时也让用户进入了黑森林。在CodeisLaw的Web3世界中,与各种合约交互是用户的基本动作,但没有开发背景的普通用户难以识别恶意嵌入合约代码里的漏洞,极易遭受财产损失。
01
错误授权:用户在与dapp交互时通常需要进行合约授权,某些恶意地址会发起转移资产的授权请求,若用户点击授权,则资产可以被直接转走机制改动:合约开发者可通过一系列手段更改代币机制,进行增发、销毁、改变交易税等操作貔貅合约:用户的买卖行为被限制,常见方式为自由买入,对卖出进行限制02
十大避坑工具
针对以上问题,我们整理了十大避坑工具,帮助Web3用户守护好自己的资产和账户。以下工具除了Harpie在发生追回财产事件时需要付0.01ETH的固定费用,以及MistTrack在一个月免费试用期后需要付费订阅,其他工具均为免费。
Web3通知平台Yoz Labs完成350万美元融资:金色财经报道,Web3 通知平台 Yoz Labs 已筹集 350 万美元,以进一步实现其构建可扩展消息传递轨道的目标,使开发人员能够直接向用户发送即时链上通知。早期风险投资公司 Electric Capital 领投,这轮融资包括几位 Web3 投资者和天使投资人,例如 Collab+Currency、Coinbase Ventures、Dapper Labs、Form Capital、North Island、Mike Krieger 和 Naval Ravikant。[2023/4/20 14:14:41]
2.1合约风险扫描
Go+Security官网:https://gopluslabs.io/StaySafu官网:https://app.staysafu.org/TokenSniffer官网:https://tokensniffer.com/2.1.1功能与使用场景
Web3游戏和NFT分析平台Helika完成400万美元融资:金色财经报道,Web3游戏和NFT分析平台Helika完成400万美元融资,Diagram Ventures领投,分布式资本、Sfermion、BigBrain Holdings、Builder Capital和Sparkle Ventures跟投。据悉,Helika可提供实时分析并为游戏工作室和流行的NFT系列吸引新用户。[2023/3/2 12:38:01]
功能:检测合约地址风险,快速获得简易审计报告
使用场景:在与某个dApp交互、或在dex上输入地址购买长尾代币时,如不确定其智能合约是否存在漏洞及其他风险,可在以上工具的扫描功能中输入要交互的智能合约地址,查看风险检测结果
2.1.2项目对比
支持公链
Web3期权协议Volare Finance完成种子轮融资,Huobi Ventures等参投:10月18日消息,Web3期权协议Volare Finance宣布完成种子轮融资,Master Ventures Investment Management (MVIM)领投,GSR、Arrington XRP Capital、Spark Digital Capital、GSR Markets、Huobi Ventures等参投,但本轮融资的具体金额暂未披露。Volare Finance帮助投资者采用标准期权策略或定制期权策略组合来对冲、投机和提高收益,旨在减少交易者在期权交易中面临的摩擦。此前,Volare Finance已在Fuji协议上推出测试网,该团队继续推动为加密期权交易提供透明、可信赖和方便的去中心化机制。(benzinga)[2022/10/18 17:30:58]
安全能力
项目背景
Skyland Ventures推出专注于Web3的4000万美元种子风险投资基金:5月15日消息,日本风投公司 Skyland Ventures(SV)近日宣布推出专注于 Web3 的 4000 万美元新种子风险投资基金SV4 Fund。在延续以往对互联网公司广泛投资的基础上,SV4 Fund 还将通过股权和 Token 形式积极开展对 Web3(加密货币、NFT、区块链)领域全球初创公司的投资。[2022/5/15 3:17:16]
综合点评
Go+Security:覆盖的公链最多,且涵盖的风险指标更多,可更加全面了解潜在风险Tokensiffer:同样有较多覆盖指标,同时每个指标有详细解释,可以更加深入理解风险点StaySafu:风险指标和支持公链较少2.2钱包防钓鱼插件
ScamSniffer
官网:https://scamsniffer.io
PocketUniverse
官网:https://www.pocketuniverse.app/
2.2.1功能与使用场景
V神等联合发表论文《去中心化社会:寻找 Web3 的灵魂》:5月12日消息,以太坊创始人 Vitalik 联合微软研究院首席研究员E. Glen Weyl、Flashbots 研究员 Puja Ohlhaver 发布名为《去中心化社会:寻找 Web3 的灵魂》的37页论文。该论文指出,如今的 Web3 围绕着表达可转移的金融化资产,但许多核心经济活动——例如无抵押贷款和建立个人品牌——都是建立在持久的、不可转让的关系之上的。因此,该论文详细阐述了代表“灵魂”的承诺、凭证和从属关系的不可转让“灵魂绑定”代币(SBT)如何编码实体经济的信任网络。同时,SBT 支持社区钱包恢复、抗女巫治理以及具有可分解、共享权利的新市场等应用。
该论文将这个更丰富、多元化的生态系统称为“去中心化社会”(DeSoc)。这种社会性的关键是可分解的产权和增强的治理机制奖励信任和合作,同时保护网络不被捕获、提取和支配。借助这种增强的社交性,web3 可以避开当今的超金融化,转而支持更具变革性、多元化的未来,跨越社交距离增加回报。[2022/5/12 3:08:43]
功能:下载安装插件后当连接钱包发起交互时,安全插件会对交互逻辑进行扫描,并弹窗告知安全扫描结果,提示风险
使用场景:某些钓鱼合约会通过空投等方式引导用户授权签名,当用户收到陌生空投想变现时,发起的交互将会被识别,并告知用户交互风险程度
2.2.2项目对比
支持钱包:均为MetaMask
安全能力
综合点评:该类工具较为同质化,随着用户积累,该类项目可以积累更多风险数据,提升安全能力。
2.3链上实时监控
Forta
官网:https://forta.org
功能:监控智能合约地址和钱包地址的状态变化,并发送状态至邮箱、Slack、Discord等通讯软件
使用场景:用户向Forta输入想监控的地址,并留下通知方式,便可以获得实时的链上动态,不用实时连接钱包或查看某需要关注的合约地址
支持公链:以太坊、Polygon、BSC、Avalanche、Optimism、Fantom、Arbitrum
项目背景:Forta由OpenZeppelin孵化,在2021年10月获得A16z领投的2300w美金融资,其他投资方包括CoinbaseVentures、TrueVentures、OpenZeppelin等
2.4授权查看与取消
Revoke
官网:https://revoke.cash/
Approved.zone
官网:https://approved.zone/
2.4.1功能与使用场景
功能:查看授权的NFT和Token,可以取消授权
使用场景:许多钓鱼智能合约会通过各种场景引导用户授权自己的签名,某些授权可能会涉及财产转移,资产有随时被转走的风险,通过该类工具,用户可以查看自己进行了哪些授权,并可以取消授权
2.4.2项目对比
支持公链
项目背景:暂无其他信息
综合点评:该类工具较为同质化,支持公链更多的产品更方便使用
2.5链上防火墙
Harpie
官网:https://harpie.io
功能:对资产的交易进行限制,用户可以提前设置受信任的网络、应用或朋友的地址,如果有资产被转到受信任地址之外的地址,Harpie会在执行过程中阻止交易
使用场景:当用户想进一步降低资产被转移的风险时,可通过Harpie选择要保护的资产,并设置该资产可以转移的白名单地址,当该资产被转向白名单之外的地址时,交易会被阻断
支持公链:以太坊
项目背景:2022年9月底,Harpie完成450万美元种子轮融资,DragonflyCapital领投,CoinbaseVentures和OpenSea等参投
2.6链上安全数据分析
MistTrack
官网:https://misttrack.io
功能:分析目标钱包地址的关联交易、资金流向等链上信息,综合评估地址风险,同时也能监控某地址,获得状态变化推送
使用场景:可以分析自己地址的相关信息,查看是否与风险地址交互过,分析潜在的安全隐患;在发生财产损失后,对损失财产转入地址进行查看,分析被攻击的方式,吸取教训
支持公链:以太坊、BSC、Polygon、Avalanche、Tron、IoTeX
项目背景:该项目是由慢雾科技推出的C端安全产品
03
总结
对于刚加入Web3世界的新人来说,安装防钓鱼钱包插件是十分必要的,能够让新人充分意识到潜在的风险,从入门就建立好安全意识。对于更加熟悉web3世界的“老韭菜”,在冲项目前,也应该先扫描项目风险冷静一下,避免被割得不明不白。最后,愿我们在Web3黑森林里安全生存,收获满满!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。