我们可以认为基于网络的非插件加密钱包是安全的吗？

Question

我知道一堆加密钱包可以在网络浏览器中使用 IFRAME 和类似技术，而无需安装任何插件：

• https://authereum.org
• https://www.portis.io
• https://tor.us
• https://fortmatic.com

但是他们是否受到网络钓鱼 Dapp 攻击的保护？如果 Dapp 想要欺骗你并隐藏实际发送的 ETH 数量或以任何其他方式，在网络浏览器中修改钱包 UI？

Answer 1

存储隔离

扩展：

MetaMask等基于浏览器扩展的钱包使用隔离的本地存储，只有扩展可以访问，网站无法访问。扩展可以向网站推送数据，也可以由网站通过做消息传递请求来请求数据。私钥存储在沙盒本地存储中，并且从网站向扩展程序发出请求以签署消息。扩展程序将签名的消息返回到网站。

基于网络：

基于浏览器的加密钱包，例如Authereum、Portis、Torus和Fortmatic，也可以通过 iframe 使用沙盒本地存储。与 cookie 不同的是，本地存储受到域的严格限制，这意味着如果网站在本地存储中设置了一个值，那么只有该网站可以读取该值；所以 alice.com 无法读取 bob.com 的本地存储。为了沙箱本地存储敏感值，它们被设置在受控子域下，例如 x.wallet.com，因为没有其他网站能够读取本地存储。此子域不包含仅用于 iframe 通信的 UI。这些钱包的 web3 提供商在网站上加载一个隐藏的 iframe，用于与包含沙盒存储的子域进行通信；例如 Alice 在 dapp.com 上使用 Authereum，Authereum sdk 使用 iframe 连接到 x.authereum.org 并发送postMessage从网站向 iframe 请求签署消息。这限制了网站读取私钥等敏感数据，并且只允许网站发送类似于钱包扩展工作方式的签名请求。

并非所有基于网络的钱包都有沙盒本地存储，因此您应该避免使用它们，因为任何网站都可以读取存储的敏感数据，但此处提到的钱包在这方面是安全的。

防止网络钓鱼攻击

当用户被诱使认为他们在使用已知网站，而实际上使用的是类似于合法网站的恶意网站时，就会发生网络钓鱼攻击。Authereum、Portis 和 Torus 是基于用户名和密码的登录解决方案，因此它们会在新的弹出窗口或重定向中打开登录身份验证窗口。这允许用户验证网站域的合法性。Google auth 也采用这种模式。除了在登录时打开一个新窗口供用户验证外，一些基于 Web 的钱包提供商还在签署消息和交易时打开一个新窗口以验证请求。

当网站通过网站上的 iframe 加载并且网站在 iframe 网站顶部覆盖不同的 UI 并将指针事件设置为无，然后诱使用户输入信息或点击覆盖的 UI 上的按钮时，就会发生点击劫持但他们实际上是点击 iframe 网站上的一个按钮。这是危险的，因为 iframe 网站上的操作可能类似于向攻击者的钱包发送资金。

为了完全防止钱包站点被加载到 iframe 中，钱包站点所要做的就是设置 HTTP 标头X-Frame-Options: DENY，这是 Authereum 和 Portis 正在做的事情，这样他们就可以免受这些攻击。

信任内容脚本

使用源查看器插件很容易验证浏览器扩展源代码，但为了避免扩展自动更新恶意代码，用户可以手动安装扩展，通过从 github 获取源代码来将其锁定到一个版本，如果它是开源或从下载源脚本。

由于使用基于 Web 的钱包，钱包站点所有者控制内容脚本，因此您必须相信管理敏感密钥数据的内容脚本不会是恶意的，因为钱包站点所有者或访问钱包站点的攻击者可以在任何时候都用错误的代码更新网站源代码。

为了信任内容脚本，钱包站点可以托管在IPFS 上，因为网址是内容哈希，这意味着您可以相信它不会改变。Authereum 是一种已经通过访问authereum.eth或解析contenthash其 ENS 名称的属性来提供此功能的钱包。

方便

基于 Web 的钱包是可移植的，因为您可以在任何操作系统、浏览器、桌面或移动设备上使用相同的钱包，而使用浏览器扩展程序时，您会陷入使用扩展程序的环境中。扩展非常不方便，但提供了更多的存储隔离保证。然而，使用基于合约的账户，可以在钱包方面提供更多的安全功能。

合约账户

MetaMask、Portis、Torus 和 Fortmatic 都是基于外部拥有的帐户 (EOA)，这意味着资金由一个密钥存储和管理。如果攻击者可以访问签名密钥，那么他们也可以访问存储在该密钥中的资金。

基于合约的账户（CBA），例如 Authereum，提供了更多的安全保障，因为每个账户合约可以有多个密钥来管理它，并且每个密钥也可能对其可以执行的操作具有有限的权限。

合约账户的优点：

• 资金不存储在单个密钥上
• 您可以循环浏览管理密钥
• 帐户恢复，以防您的管理密钥被盗或丢失
• 转账和取款限额
• 键的访问控制，这意味着您可以限制键可以调用的方法

Answer 2

免责声明：我是问题中列出的钱包之一 Authereum 的联合创始人。

要回答您最初的问题，是的，许多基于网络的加密钱包都是安全的。正如您提到的，一些钱包使用 iframe 来保护用户免受恶意应用程序的侵害。使用这种架构，用户的私钥永远不会以纯文本形式暴露给 dapp。

确实，恶意 dapp 可以尝试让用户对恶意数据进行签名。基于网络的加密钱包还可以采取其他措施。

正如@tom-teman 提到的，用户可以通过验证新窗口的 URL 来验证登录的合法性。

Authereum 还采取了额外的保护措施来帮助确保用户的安全。由于用户钱包的基于合约的架构，其中一些是可能的。以下是 Authereum 安全功能的非详尽列表：

1. 永远不要将私钥暴露给 dapp。
2. 不要广播值大于用户每日允许限制的交易。如果 dapp 尝试花费超过用户指定的金额，则交易将失败。
3. 为用户设置 dapp 特定限制（即每日交易价值限制、单个 dapp 上的有限交易数量等）。
4. 已报告或恶意操作的黑名单应用程序。
5. （可选）要求每笔交易进行 2 因素身份验证。

注意：Authereum 完全不受监管和审查。虽然上述功能是 Authereum 系统的一部分，但它们不是必需的，如果 Authereum 用户觉得自己受到审查，可以绕过它们。

您可以在此处查看这些基于网络的加密钱包之间的一些区别。