Web3避坑指南：十大C端安全工具

Web3 通過區塊鏈技術為用戶拿回了數據與資產主權，讓用戶自己管理自己的資訊與財產，同時也讓用戶進入了黑森林。在 Code is Law 的 Web3 世界中，與各種合約交互是用戶的基本動作，但沒有開發背景的普通用戶難以識別惡意嵌入合約代碼里的漏洞，極易遭受財產損失。

01 C 端用戶典型安全問題

錯誤授權：用戶在與 dapp 交互時通常需要進行合約授權，某些惡意地址會發起轉移資產的授權請求，若用戶點擊授權，則資產可以被直接轉走；

機制改動：合約開發者可通過一系列手段更改Token機制，進行增發、銷毀、改變交易稅等操作；

貔貅合約：用戶的買賣行為被限制，常見方式為自由買入，對賣出進行限制。

02 十大避坑工具

針對以上問題，我們整理了十大避坑工具，幫助 Web3 用戶守護好自己的資產和帳戶。以下工具除了 Harpie 在發生追回財產事件時需要付 0.01ETH 的固定費用，以及 MistTrack 在一個月免費試用期後需要付費訂閱，其他工具均為免費。

2.1 合約風險掃描

Go+ Security

官網：https://gopluslabs.io/

StaySafu

官網：https://app.staysafu.org/

Token Sniffer

官網：https://tokensniffer.com/

2.1.1 功能與使用場景

功能：檢測合約地址風險，快速獲得簡易審計報告。

使用場景：在與某個 dApp 交互、或在 dex 上輸入地址購買長尾 Token 時，如不確定其智能合約是否存在漏洞及其他風險，可在以上工具的掃描功能中輸入要交互的智能合約地址，查看風險檢測結果。

2.1.2 項目對比

支持公鏈

安全能力

項目背景

綜合點評

Go+ Security：覆蓋的公鏈最多，且涵蓋的風險指標更多，可更加全面了解潛在風險

Tokensiffer：同樣有較多覆蓋指標，同時每個指標有詳細解釋，可以更加深入理解風險點

StaySafu：風險指標和支持公鏈較少

2.2 錢包防釣魚插件

Scam Sniffer

官網：https://scamsniffer.io

Pocket Universe

官網：https://www.pocketuniverse.app/

2.2.1 功能與使用場景

功能：下載安裝插件後當連接錢包發起交互時，安全插件會對交互邏輯進行掃描，並彈窗告知安全掃描結果，提示風險。

使用場景：某些釣魚合約會通過空投等方式引導用戶授權簽名，當用戶收到陌生空投想變現時，發起的交互將會被識別，並告知用戶交互風險程度。

2.2.2 項目對比

支持錢包：均為 MetaMask

安全能力

項目背景

綜合點評：該類工具較為同質化，隨著用戶積累，該類項目可以積累更多風險數據，提升安全能力。

2.3 鏈上實時監控

Forta

官網：https://forta.org

功能：監控智能合約地址和錢包地址的狀態變化，並發送狀態至信箱、Slack、Discord 等通訊軟體。

使用場景：用戶向 Forta 輸入想監控的地址，並留下通知方式，便可以獲得實時的鏈上動態，不用實時連接錢包或查看某需要關注的合約地址。

支持公鏈：以太坊、Polygon、BSC、Avalanche、Optimism、Fantom、Arbitrum。

項目背景：Forta 由 OpenZeppelin 孵化，在 2021 年 10 月獲得 A16z 領投的 2300w 美金融資，其他投資方包括 Coinbase Ventures、True Ventures、OpenZeppelin 等。

2.4 授權查看與取消

Revoke

官網：https://revoke.cash/

Approved.zone

官網：https://approved.zone/

2.4.1 功能與使用場景

功能：查看授權的 NFT 和 Token，可以取消授權

使用場景：許多釣魚智能合約會通過各種場景引導用戶授權自己的簽名，某些授權可能會涉及財產轉移，資產有隨時被轉走的風險，通過該類工具，用戶可以查看自己進行了哪些授權，並可以取消授權

2.4.2 項目對比

支持公鏈

項目背景：暫無其他資訊

綜合點評：該類工具較為同質化，支持公鏈更多的產品更方便使用。

2.5 鏈上防火牆

Harpie

官網：https://harpie.io

功能：對資產的交易進行限制，用戶可以提前設置受信任的網路、應用或朋友的地址，如果有資產被轉到受信任地址之外的地址，Harpie 會在執行過程中阻止交易。

使用場景：當用戶想進一步降低資產被轉移的風險時，可通過 Harpie 選擇要保護的資產，並設置該資產可以轉移的白名單地址，當該資產被轉向白名單之外的地址時，交易會被阻斷。

支持公鏈：以太坊

項目背景：2022 年 9 月底，Harpie 完成 450 萬美元種子輪融資，Dragonfly Capital 領投，Coinbase Ventures 和 OpenSea 等參投

2.6 鏈上安全數據分析

MistTrack

官網：https://misttrack.io

功能：分析目標錢包地址的關聯交易、資金流向等鏈上資訊，綜合評估地址風險，同時也能監控某地址，獲得狀態變化推送。

使用場景：可以分析自己地址的相關資訊，查看是否與風險地址交互過，分析潛在的安全隱患；在發生財產損失後，對損失財產轉入地址進行查看，分析被攻擊的方式，吸取教訓。

支持公鏈：以太坊、BSC、Polygon、Avalanche、Tron、IoTeX

項目背景：該項目是由慢霧科技推出的 C 端安全產品

03 總結

對於剛加入 Web3 世界的新人來說，安裝防釣魚錢包插件是十分必要的，能夠讓新人充分意識到潛在的風險，從入門就建立好安全意識。對於更加熟悉 web3 世界的「老韭菜」，在沖項目前，也應該先掃描項目風險冷靜一下，避免被割得不明不白。最後，願我們在 Web3 黑森林裡安全生存，收穫滿滿！

原文連結