MetaMask的最新安全工具可保护智能合约免受攻击

MetaMask是领先的软件加密货币钱包，使用户能够在其浏览器上与以太坊钱包进行交互，所有这些都将实施一流的安全标准，以使整个开源javascript生态系统受益。 MetaMask的新工具将保护智能合约开发人员免受网络钓鱼攻击或盗窃。

2021年2月20日，超过50个智能合约开发商受到了攻击者的巨大打击。 攻击发生在NomicLabs的HardHat（一个用于以太坊智能合约开发的库）遭到网络钓鱼攻击时，这种攻击被称为“ typo蹲”。 在典型的攻击中，当用户偶然输入错误的域名并因此将其重定向到类似于最初打算使用的域名的命名空间时，攻击者会等待机会。 攻击者购买任何受信任网站的相似域名，以使其看起来是真实的。 结果，该网页看起来与任何受信任的网站一样合法，但行为恶意。 这次，攻击者没有使用相似的域名。 取而代之的是，他们在NPM上注册了一个名称，NPM是开源javascript库的主要可信任资源。 预期的名称是“ @ nomiclabs / hardhat-waffle”，攻击者注册了名称“ hardhat-waffle”，与正版软件包名称一样合法。 攻击者很可能在等待用户错误地键入“安全帽华夫饼”，而不是“ @ nomiclabs / hardhat-waffle”，后者在安装后将运行安装后脚本，该脚本将内容和Kubernetes凭据文件上传到远程服务器。 凭借其新的安全功能，MetaMask不断努力与试图窃取用户凭据的虚假网站进行斗争。

但是，这些类型的攻击并不新鲜。 在2018年，著名的Copay比特币钱包成为恶意的第三方代码的受害者，该代码窃取了用户的比特币和以太坊密钥。 最近与HardHat发生的事件敦促MetaMask团队在一组功能强大的安全工具“ LavaMoat”中创建一个新工具，该工具可以保护开发人员免遭盗窃。 这个简单轻巧的工具称为“ @ lavamoat / allow-scripts”。 它通过明确允许开发人员根据需要执行NPM生命周期脚本（如“预安装”和“安装后”）来真正保护软件包，从而保护开发人员免受软件供应链中的恶意代码的侵害。 开发人员所需要做的就是简单地安装该工具，然后在其系统中快速对其进行配置。

如果错误安装安全帽胡扯的开发人员首先在其项目上配置了@ lavamoat / allow-scripts，那么他们将不受所有此类安装脚本攻击的影响。

—-

原文链接：https://www.cryptonewsz.com/metamasks-latest-security-tool-to-protect-smart-contracts-from-attacks/

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。