تهديدات الأمان الجديدة لمحفظة Web3.0 المتنقلة: هجمات التصيد الاحتيالي المودالية
مؤخراً، اكتشف الباحثون في مجال الأمن تقنية جديدة للتصيد الاحتيالي تستهدف المحفظة المحمولة في Web3.0، تُعرف باسم "هجوم التصيد الاحتيالي النمطي" (Modal Phishing). تستغل هذه الهجمات النوافذ النمطية في تطبيقات المحفظة المحمولة، من خلال عرض معلومات مضللة لخداع المستخدمين للموافقة على معاملات خبيثة.
مبدأ هجمات التصيد الاحتيالي النموذجي
تستهدف هجمات التصيد الاحتيالي المتعلق بالنوافذ المنبثقة بشكل رئيسي النوافذ المنبثقة لمحافظ العملات المشفرة. النوافذ المنبثقة هي عناصر واجهة مستخدم شائعة في التطبيقات المحمولة، وغالبًا ما تستخدم لعرض طلبات المعاملات وغيرها من المعلومات الهامة. يمكن للمهاجمين التلاعب ببعض عناصر واجهة المستخدم في هذه النوافذ لجعلها تبدو وكأنها طلبات من تطبيقات شرعية.
يوجد نوعان رئيسيان من طرق الهجوم:
التحكم في معلومات DApp من خلال بروتوكول Wallet Connect
التلاعب بمعلومات عرض العقود الذكية في بعض تطبيقات المحفظة
ثغرة بروتوكول Wallet Connect
Wallet Connect هو بروتوكول مفتوح المصدر يُستخدم على نطاق واسع لربط محفظة المستخدم مع DApp. أظهرت الأبحاث أن هذا البروتوكول لا يتحقق من صحة المعلومات أثناء نقلها من DApp. يمكن للمهاجمين تزوير اسم DApp وعنوانه وأيقونته، مما يجعل طلبات التصيد تبدو وكأنها من تطبيقات شرعية.
معلومات احتيال العقود الذكية
على سبيل المثال، فإن إحدى المحفظات المحمولة المعروفة تقوم عند عرض نوع المعاملة بقراءة بايت توقيع العقد الذكي واستعلام اسم الطريقة المعنية. يمكن للمهاجمين إنشاء عقود ذكية خبيثة تحمل أسماء مضللة (مثل "SecurityUpdate")، مما يجعل طلب المعاملة يبدو كأنه تحديث أمني.
نصائح للوقاية
بالنسبة لمطوري المحفظة:
افترض دائمًا أن البيانات المدخلة من الخارج غير موثوقة
اختر بعناية المعلومات التي تعرضها للمستخدم وتحقق من قانونيتها
تصفية الكلمات التي قد تُستخدم في هجمات التصيد
بالنسبة للمستخدمين:
كن حذرًا من كل طلبات المعاملات غير المعروفة
تحقق بعناية من تفاصيل الصفقة، ولا تثق بالمعلومات المعروضة في نافذة النموذج.
تحديث المحفظة بشكل دوري للحصول على أحدث تدابير الأمان
مع تطور تقنية Web3.0، قد تستمر التهديدات الأمنية المماثلة في الظهور. يحتاج المستخدمون والمطورون إلى تعزيز الوعي بالأمان للحفاظ بشكل مشترك على أمان نظام العملات المشفرة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 11
أعجبني
11
4
إعادة النشر
مشاركة
تعليق
0/400
MEVSandwichMaker
· 08-09 16:22
麻了啊 فريق المشروع玩得是越来越花 看来得换个 المحفظة
شاهد النسخة الأصليةرد0
GasFeeThunder
· 08-09 16:20
فخ غاز آخر، تشير البيانات إلى أنه تم فقدان 27.3w u بالفعل
شاهد النسخة الأصليةرد0
JustHereForAirdrops
· 08-09 15:59
مرة أخرى، خدعة جديدة. عملتي قد تمت سرقتها تقريبًا.
Web3.0 المحفظة تهديدات جديدة: مبدأ هجمات التصيد الاحتيالي المُودالي وطرق الوقاية
تهديدات الأمان الجديدة لمحفظة Web3.0 المتنقلة: هجمات التصيد الاحتيالي المودالية
مؤخراً، اكتشف الباحثون في مجال الأمن تقنية جديدة للتصيد الاحتيالي تستهدف المحفظة المحمولة في Web3.0، تُعرف باسم "هجوم التصيد الاحتيالي النمطي" (Modal Phishing). تستغل هذه الهجمات النوافذ النمطية في تطبيقات المحفظة المحمولة، من خلال عرض معلومات مضللة لخداع المستخدمين للموافقة على معاملات خبيثة.
مبدأ هجمات التصيد الاحتيالي النموذجي
تستهدف هجمات التصيد الاحتيالي المتعلق بالنوافذ المنبثقة بشكل رئيسي النوافذ المنبثقة لمحافظ العملات المشفرة. النوافذ المنبثقة هي عناصر واجهة مستخدم شائعة في التطبيقات المحمولة، وغالبًا ما تستخدم لعرض طلبات المعاملات وغيرها من المعلومات الهامة. يمكن للمهاجمين التلاعب ببعض عناصر واجهة المستخدم في هذه النوافذ لجعلها تبدو وكأنها طلبات من تطبيقات شرعية.
يوجد نوعان رئيسيان من طرق الهجوم:
ثغرة بروتوكول Wallet Connect
Wallet Connect هو بروتوكول مفتوح المصدر يُستخدم على نطاق واسع لربط محفظة المستخدم مع DApp. أظهرت الأبحاث أن هذا البروتوكول لا يتحقق من صحة المعلومات أثناء نقلها من DApp. يمكن للمهاجمين تزوير اسم DApp وعنوانه وأيقونته، مما يجعل طلبات التصيد تبدو وكأنها من تطبيقات شرعية.
معلومات احتيال العقود الذكية
على سبيل المثال، فإن إحدى المحفظات المحمولة المعروفة تقوم عند عرض نوع المعاملة بقراءة بايت توقيع العقد الذكي واستعلام اسم الطريقة المعنية. يمكن للمهاجمين إنشاء عقود ذكية خبيثة تحمل أسماء مضللة (مثل "SecurityUpdate")، مما يجعل طلب المعاملة يبدو كأنه تحديث أمني.
نصائح للوقاية
بالنسبة لمطوري المحفظة:
بالنسبة للمستخدمين:
مع تطور تقنية Web3.0، قد تستمر التهديدات الأمنية المماثلة في الظهور. يحتاج المستخدمون والمطورون إلى تعزيز الوعي بالأمان للحفاظ بشكل مشترك على أمان نظام العملات المشفرة.