MetaMask創始人推出MobyMask，如何剷除網絡釣魚行為

Jordan ｜2022-06-08 11:56

把每天都在舉報網絡釣魚行為的社區力量全部動用起來，會有什麼效果呢？

編譯| PANews

“捕鯨纜繩散落在每個人的周圍。所有人生來脖子上都纏繞著繫帶，但只有當死亡突然來臨時，人們才會意識到生活中那些無聲的、不易察覺的、卻無處不在的危險。” ——《白鯨記》，赫爾曼·梅利維爾

實際上，如今的互聯網環境與《白鯨記》中描繪的19世紀南塔基特島附近海域並無兩樣。那些窮凶極惡的漁民為了獲得巨額財富而殘忍地屠殺了大量鯨魚，在海上為非作歹，而當下的社交媒體就如同這片汪洋大海——舉個例子，你只要發布一條帶有“MetaMask”字眼的推文，就會立刻引來各路網絡“釣魚者”，而對方很可能只是一個機器人，但使用的用戶名卻看上去“非常”官方，比如@metamask095或@RealOfficialSupp0rt等。

不得不承認，現在的網絡釣魚事件日益增多。據悉，有80%的MetaMask用戶報告過網絡釣魚行為，MetaMask也正在通過監控網絡釣魚者名單、警告用戶危險域名等方式來預防此類事件的發生，然而直到現在，這一現象仍然無法徹底杜絕。

那麼，假如能把每天都在舉報網絡釣魚行為的社區力量全部動用起來，會有什麼效果呢？毫無疑問，一旦這些虛假帳號被標記出來，其他人將不再會誤以為他們是在與官方人員進行互動，從而遭受信息和資金的損失了。

代表MobyMask項目的白鯨Logo

在今年舉辦的ConsenSys Cypherpunk Hackathon大會上，MetaMask創始人帶來了一個預防網絡釣魚行為的全新項目——“MobyMask”。與此前另一個版本“Moby-Dick”相比，“MobyMask”功能更加強大，它創建了一個名為“Delegatable”的信任網絡，讓更多人參與進來，而且允許用戶通過簽署鏈下消息將自己的信息授予他人，同時確保這些信息不可轉讓。此外，新用戶還可以邀請其它用戶一起參與舉報釣魚行為，所有舉報都是透明的，用戶不用擔心會洩露自身信息。不僅如此，MobyMask 還建立了一個問責機制，如果發現被邀請的成員舉報行跡可疑，則可以取消它的邀請鏈接。

儘管“MobyMask”項目現階段看起來並不算非常完美，但不可否認的是，它已經做到了目前其它Web 3去中心化防欺詐應用沒有做到的事情。

上圖：“MobyMask”社區成員登錄頁面

在使用MobyMask時，用戶可以執行以下操作：

1、輸入有嫌疑的Twitter 賬號來舉報網絡釣魚者（當然還可以輸入其它類別來實現）

2、公佈自己心目中的白名單；

3、邀請自己信任的人，生成邀請鏈接來擴大舉報網絡釣魚者網絡。

注意，所有舉報者都可以邀請其他人一起舉報，當然也可以撤銷所有的邀請，這樣被邀請成員就會失去舉報資格，並且他們任何未完成的舉報消息都會無效。

通過這種形式，MobyMask希望盡可能地擴大舉報範圍，繼而保證系統透明可靠並將所有的網絡釣魚檢測策略整合到一個共享數據庫中，讓其成為全球響應速度最快的網絡釣魚檢測系統。在整合了大量策略、支持即時舉報的情況下，MobyMask還能具備完美的可審核性和問責制，從這個角度來看，這個項目已經算是同類中的佼佼者了。

實際上，有關網絡釣魚的報告在鏈下很容易進行確認。儘管整個系統是由鏈上註冊表來控制的，但在鏈下維護網絡釣魚報告列表時，無論多少都無需處理費用，同時還能將這些報告存儲起來，在與鏈上報告進行交叉檢查後定期撤銷掉一些不正確的報告。

由於用戶也可以存儲這些網絡釣魚報告，因此就可以形成一個幾乎沒有交易費用的p2p 反釣魚網絡。當用戶想要撤銷他們的某個邀請但又擔心撤銷行為被審查時，區塊鏈的作用就顯現出來了，這與“可驗證聲明”或“去中心化身份認證(DID)”的模式非常相似，但區別在於該模式是與鏈上信任錨定的。

要知道，所有關於網絡釣魚的報告在鏈下都是有用的，而且這些報告可以進行批處理。用戶可以在處理單個事務的界面中輸入任意數量的網絡釣魚報告，由於使用的都是同一個簽名，因此驗證報告需要的費用成本變得更低。

上圖：在單個事務處理中支持批量報告

對於所有這些報告的驗證都可以在鏈下進行，由收到邀請鏈接的用戶進行批量處理。但在這種情況下，錢包連接負擔太大，無法將新邀請的報告者安排到隊列前面。由於該項目的一大亮點就是打造快速分發響應式的釣魚檢測網絡，因此項目組決定掃除所有障礙。

在真正需要使用錢包之前，為了準確引導錢包，MobyMask還創建了一個名為“ LazyConnect”的引導庫，將需要用到區塊鏈技術的幾個按鈕進行了包裝，使得用戶能夠在獲得錢包、備份或是任何交易費用前執行盡可能多的操作。

儘管該功能做得還不是很完美，但用戶可以通過CSS 類選擇器進行非常方便的定制，這樣他們可能永遠不再需要錢包，或者當他們需要的時候再去申請錢包。為了實現這一點，Delegatable信任網絡是十分重要的，有了它，創建邀請鏈接和MetaTransaction都會變得非常簡單，用戶無需傳統意義上的錢包即可完成更多的體驗。

上圖：LazyConnect 的一個實際應用

現在，撤銷邀請和提交報告仍然需要通過錢包來進行，但當創建了“網絡釣魚客戶端”之後，就無需在鏈上提交每個報告了，而錢包也只有在撤銷邀請的時候才需要用到。不過即使那樣，仍然可能會有人通過錢包來提交這些報告，因為MobyMask 中的所有操作都是MetaTransaction（可以由支付gas 費用的人進行提交）。

目前，該項目還處於初級階段，要想完全阻止網絡釣魚行為還有很長的路要走，底層技術還需要不斷優化，比如還需：

• 建立一個從數據庫中提取信息的系統，以便更快地向用戶發出警告。

• 建立一個讓用戶在遇到網絡釣魚時方便報告的系統。

• 建立一個系統用於審核未完成的網絡釣魚報告、進一步解決衝突（在對用戶邀請的舉報人存在分歧的情況下，如果不撤銷邀請那麼用戶自己的會員資格可能會被取消！）

上圖：在理想情況下，整合網上所有的舉報信息和新成員邀請信息。

一旦該系統中出現了關於網絡釣魚報告的分歧，那麼MobyMask將會幫助用戶查看他們邀請的舉報人與其他舉報人提交的報告是在什麼時候發生分歧的，以及分歧的內容是什麼，只要最後沒有達成共識便可以撤銷邀請。如果邀請你的人發現了分歧點並且證實你的受邀者提交的報告不正確，那麼你發出的邀請將會被撤銷。

以下是在當前的MobyMask 概念驗證中涉及到的庫圖表和技術圖表：

接下來，MobyMask還將開發可自行託管的MobyMask 客戶端，將所有鏈下的網絡釣魚報告整合到一起進行分析，這樣大多數的網絡釣魚報告就無需上鍊了。此時，區塊鏈將成為一種反審查保險策略：如果系統中有分歧的邀請沒有被撤銷，那麼區塊鍊網絡將會審查出來。除此之外，它與那些驗證過的索賠系統（claims system）並無區別：