MetaMask安全月刊：2022年7月

大家好！无论您身处何方，这是我们安全实验室的最新动态，包括新的赏金计划统计数据，以及一些帮助您保持安全意识的要点！

安全实验室

Endo

LavaMoat

LavaMoat推出新的实验性工具，用于创建更安全的基于浏览器的技术！

作为LavaMoat为开发者提供更好保护其基于JavaScript技术的工具使命的一部分，今天LavaMoat推出了Securely、Snow和Across。这三者都通过引入前所未有的新功能，解锁了防御技术的新可能性，同时考虑到了我们所熟知的非常敏感的浏览器生态系统。

Securely 🔒

使用Securely，您可以在Web应用程序中保留对原生功能的独占访问权，并安全地访问原生API，同时确保对这些API的任何篡改都不会影响您的技术。

换句话说，如果在您的程序中需要使用fetch，但担心它可能被与您的代码在同一上下文中运行的第三方JS代码篡改，使用Securely您可以访问原始的fetch API并避免任何潜在的篡改。

使用Securely，您可以防御诸如原型污染和中间人浏览器（MITB）等攻击。

查看Securely的演示和源代码

Snow ❄️

使用Snow，您可以在Web应用程序中获得对所有新生窗口的独占优先访问权。

通过向Snow提供一个简单的回调函数，Snow将确保在授予其创建者访问权限之前，使用每个附加到DOM的新窗口调用该回调。

攻击者通常创建iframe以访问其新领域来获取全新API。然而，通过使用Snow，您可以将应用于顶部窗口的安全策略应用于每个新创建的窗口，从而使攻击者无法滥用此类技术。

除了其安全方面，Snow还帮助您按照您希望的方式塑造Web应用程序中出现的每个新领域。您可以放心，无论通过何种方式创建新窗口，它都会这样做，这得益于Snow专注于覆盖所有可能的方式。

Snow构建在Securely之上，以防止针对它的攻击。

查看Snow的演示、源代码和进一步文档

Across 🔁

使用Across，您可以首次基于源URL在两个附加到同一DOM的脚本之间建立完全安全的通信通道。

截至目前，浏览器Web应用程序中的两个脚本无法交换仅对它们可见且对其他任何脚本不可访问的信息。

通过利用Securely和Snow的安全能力，Across解锁了脚本在客户端彼此共享敏感信息的能力，无需服务器端实体，也无需担心网页内的第三方可能危及其通信通道！

查看Across的演示、源代码和进一步文档

我们相信这三者可用于创建更安全的基于浏览器的技术，这些技术不易受当今JavaScript安全威胁的影响，并解锁在其之上创建强大安全技术的新能力。

我们鼓励您了解更多，并希望帮助改进这些工具并依赖它们，因为目前它们仍被视为实验性的。

事件响应

感谢所有参与我们在HackerOne的漏洞赏金计划的人！如果您有兴趣贡献，请访问 https://hackerone.com/metamask。

提醒一下，范围内的资产是MetaMask扩展（源代码），可从我们的网站下载，以及MetaMask移动应用程序（源代码），可从App Store（iOS）或Google Play（Android）下载。

下表根据严重程度映射奖励：

本月，我们感谢了10位出色的黑客，他们的报告帮助我们使MetaMask对每个人都更加安全！有效报告的平均支付额为500美元，因为其中许多是信息性的，虽然有帮助，但未完全达到我们的漏洞阈值。

警示故事

我们自己的Harry深入探讨了过滤ERC20名称以防滥用：

以及一个利用用户的闪电贷恶意教程：

用户教育

享受这篇最新MetaMask支持文章关于如何避免NFT诈骗的预告，然后去阅读其余部分！

“Discord、Twitter和Telegram是NFT项目用于建立社区并分享铸造、活动、市场活动等信息的主要平台。骗子已经注意到这一点，并一直在寻找新的方式来利用社区成员持有资产。”

感谢阅读，我们下个月再见。保持警惕！