网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　设置防钓鱼码能够在一定程度解决钓鱼邮件的问题，下图给出了premint平台提供的防钓鱼码功能：

　　开发者在开发DAPP应用时所使用的环境即为开发环境，保护开发环境安全，是保护应用开发者及DAPP应用使用者资产安全的重要前提。DAPP应用是基于区块链网络交互框架开发的（如ethers，web3.js等），为了方便用户使用DAPP，开发者通常需使用基于JavaScript脚本开发的前端框架react或vue构建DAPP应用前端，便于用户直接利用前端UI直接与智能合约进行交互。前端开发框架有助于DAPP开发团队便捷的开发支撑DAPP应用运行和使用的前端系统。

　　选取经过市场验证的SDK能够在一定程度上确保资产安全。

　　完全相信搜索引擎结果，是钓鱼攻击成功实施的原因之一。

　　搜索引擎，是一种按照特定策略、运用特定计算机程序从互联网上采集信息，在对信息进行整理和归纳后，对外向用户所提供的一种检索及结果展示系统，是帮助用户查找特定资料及信息的有力支撑工具。

　　在区块链环境中，用户需访问DAPP官方网站时，通常也会将搜索引擎的检索结果作为参考之一，这给了攻击者可乘之机。攻击者可以通过仿冒知名的DAPP平台界面UI，并对仿冒站点进行SEO优化，使仿冒站点出现在搜索引擎结果的第一位或靠前位置。出于对搜索引擎结果的信任，最终导致用户持有的数字资产丢失。仿冒DAPP通过SOE优化进入搜索引擎结果靠前位置的案例。尽管 Google已将其标记为Ad，但由于其结果出现在搜索结果第一位，仍然有部分用户中招。

　　被仿冒的DAPP应用为x2y2这一 NFT交易平台，其官方链接为x2y2.io，而仿冒站点链接为x2y2market.com。黑客通常会选取与被仿冒DAPP相近或相关的域名以达到欺骗并盗取用户数字资产的目的。

　　在开始这一内容前，我们需要明确一个概念，什么是交易？什么是签名？什么时候会签名，在区块链中的交易有以下几类。

　　所有交易在上链之前，都需要使用交易发起人对交易Hash进行签名，在交易上链的过程中，通过对签名结果认证的方式验证交易合法性，合法的交易打包上链的这一刻交易行为将生效：不管是转账的ETH还是转移的NFT都会进入目标地址中。

　　此外，还有另外一种签名，比如登录mirror时需要签名来验证用户掌握连接mirror的区块链账户。

　　确保交易签名安全的重点是：1）确保用户在确认交易时所看到的待签名内容是符合用户预期的；2）确保用户签名的交易发送后，区块链能够按照用户对交易的预期执行。用户所见即所签，所签即所行。确保经用户签名的交易被发送后，执行结果是符合用户预期的是保障签名安全的重要指导方针。

　　在窃取用户私钥无果的前提下：部分黑客打起了盗用签名数据的歪心思：通过诱导用户对不安全的交易数据进行签名：诱导用户访问钓鱼页面并在钓鱼页面中将存在盗取资产操作的交易利用keccak256生成待签名数据推送至用户，若用户因疏忽进行了签名操作，则黑客即获取到能够向区块链节点证明交易合法性的签名数据。此时，黑客只需要将签名数据和构造的交易广播至区块链网络，即可实现滥用受害者账户数字资产的目的（通常为盗取NFT）。

　　下图给出了一个不安全的待签名请求，发起该请求的站点为钓鱼站点https：//thejewsnfts.xyz，在后文我们还将对其通过仿冒推特账户实施攻击的方法进行阐述。