Dompet Seluler Web3 Penipuan Baru Diungkapkan: Serangan Phishing Modal
Baru-baru ini, teknik phishing baru yang menargetkan dompet seluler Web3 telah menarik perhatian para peneliti keamanan. Dijuluki "Modal Phishing", teknik ini terutama menyesatkan pengguna dengan memanipulasi jendela modal dompet seluler.
Penyerang dapat mengirim pesan palsu ke dompet seluler, menyamar sebagai aplikasi terdesentralisasi yang sah (DApp), dan menampilkan konten yang menyesatkan di jendela modal dompet untuk mengelabui pengguna agar menyetujui transaksi. Teknik memancing ini kini banyak digunakan. Pengembang komponen yang relevan telah mengonfirmasi bahwa API validasi baru akan dirilis untuk mengurangi risiko.
Serangan phishing modal terutama dilakukan terhadap jendela modal dompet kripto. Jendela modal adalah elemen UI yang umum digunakan di aplikasi seluler, biasanya ditampilkan di bagian atas jendela utama, untuk tindakan cepat seperti menyetujui atau menolak permintaan jual beli.
Desain modal dompet Web3 yang khas akan memberikan informasi transaksi dan tombol setujui/tolak. Namun, elemen UI ini dapat dikontrol oleh penyerang untuk serangan phishing.
Wallet Connect adalah protokol sumber terbuka yang populer untuk menghubungkan dompet pengguna ke DApp. Selama proses pemasangan, dompet menampilkan informasi meta yang disediakan oleh DApp, termasuk nama, URL, dan ikon. Namun, informasi ini belum diverifikasi, dan penyerang dapat memalsukan informasi DApp yang sah.
Misalnya, penyerang dapat menyamar sebagai DApp terkenal untuk mengelabui pengguna agar terhubung ke dompet dan menyetujui transaksi. Selama proses pemasangan, jendela modal yang ditampilkan oleh dompet akan menyajikan informasi DApp yang tampaknya sah, yang meningkatkan kredibilitas serangan.
Beberapa aplikasi dompet menampilkan nama metode smart contract dalam mode persetujuan transaksi. Penyerang dapat menyesatkan pengguna dengan mendaftarkan nama metode tertentu, seperti "SecurityUpdate".
Misalnya, penyerang dapat membuat kontrak pintar phishing yang berisi fungsi yang disebut "SecurityUpdate". Ketika pengguna melihat permintaan transaksi, mereka akan melihat permintaan "pembaruan keamanan" yang tampaknya berasal dari otoritas resmi dompet, meningkatkan kemungkinan pengguna akan menyetujui transaksi berbahaya tersebut.
Pengembang dompet harus selalu memverifikasi keabsahan data masuk eksternal dan tidak boleh mempercayai informasi yang belum diverifikasi secara membabi buta.
Developer harus hati-hati memilih informasi yang mereka tampilkan kepada pengguna dan memfilter konten yang dapat digunakan untuk serangan phishing.
Pengguna harus waspada terhadap setiap permintaan transaksi yang tidak diketahui, memeriksa detail transaksi dengan cermat, dan tidak mudah menyetujui permintaan dari sumber yang tidak dikenal.
Protokol dan platform yang relevan harus mempertimbangkan untuk memperkenalkan mekanisme verifikasi yang lebih ketat untuk memastikan bahwa informasi yang ditampilkan kepada pengguna adalah otentik dan dapat diandalkan.
! [Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
Karena teknologi Web3 terus berkembang, peningkatan kesadaran keamanan sangat penting bagi pengguna dan pengembang. Hanya dengan tetap waspada dan terus meningkatkan langkah-langkah keamanan Anda, Anda dapat secara efektif mencegah jenis serangan phishing baru ini.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Phishing Modus: Ancaman Keamanan Baru yang Dihadapi Dompet Seluler Web3
Dompet Seluler Web3 Penipuan Baru Diungkapkan: Serangan Phishing Modal
Baru-baru ini, teknik phishing baru yang menargetkan dompet seluler Web3 telah menarik perhatian para peneliti keamanan. Dijuluki "Modal Phishing", teknik ini terutama menyesatkan pengguna dengan memanipulasi jendela modal dompet seluler.
Penyerang dapat mengirim pesan palsu ke dompet seluler, menyamar sebagai aplikasi terdesentralisasi yang sah (DApp), dan menampilkan konten yang menyesatkan di jendela modal dompet untuk mengelabui pengguna agar menyetujui transaksi. Teknik memancing ini kini banyak digunakan. Pengembang komponen yang relevan telah mengonfirmasi bahwa API validasi baru akan dirilis untuk mengurangi risiko.
! Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal
Prinsip serangan phishing modal
Serangan phishing modal terutama dilakukan terhadap jendela modal dompet kripto. Jendela modal adalah elemen UI yang umum digunakan di aplikasi seluler, biasanya ditampilkan di bagian atas jendela utama, untuk tindakan cepat seperti menyetujui atau menolak permintaan jual beli.
Desain modal dompet Web3 yang khas akan memberikan informasi transaksi dan tombol setujui/tolak. Namun, elemen UI ini dapat dikontrol oleh penyerang untuk serangan phishing.
! Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal
Kasus Serangan
1. DApp phishing melalui Wallet Connect
Wallet Connect adalah protokol sumber terbuka yang populer untuk menghubungkan dompet pengguna ke DApp. Selama proses pemasangan, dompet menampilkan informasi meta yang disediakan oleh DApp, termasuk nama, URL, dan ikon. Namun, informasi ini belum diverifikasi, dan penyerang dapat memalsukan informasi DApp yang sah.
Misalnya, penyerang dapat menyamar sebagai DApp terkenal untuk mengelabui pengguna agar terhubung ke dompet dan menyetujui transaksi. Selama proses pemasangan, jendela modal yang ditampilkan oleh dompet akan menyajikan informasi DApp yang tampaknya sah, yang meningkatkan kredibilitas serangan.
! Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal
! Mengungkap Penipuan Baru Dompet Seluler Web3.0: Phishing Modal Serangan Phishing Modal
2. Phishing melalui informasi kontrak pintar
Beberapa aplikasi dompet menampilkan nama metode smart contract dalam mode persetujuan transaksi. Penyerang dapat menyesatkan pengguna dengan mendaftarkan nama metode tertentu, seperti "SecurityUpdate".
Misalnya, penyerang dapat membuat kontrak pintar phishing yang berisi fungsi yang disebut "SecurityUpdate". Ketika pengguna melihat permintaan transaksi, mereka akan melihat permintaan "pembaruan keamanan" yang tampaknya berasal dari otoritas resmi dompet, meningkatkan kemungkinan pengguna akan menyetujui transaksi berbahaya tersebut.
! Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal
! Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal
Rekomendasi Pencegahan
Pengembang dompet harus selalu memverifikasi keabsahan data masuk eksternal dan tidak boleh mempercayai informasi yang belum diverifikasi secara membabi buta.
Developer harus hati-hati memilih informasi yang mereka tampilkan kepada pengguna dan memfilter konten yang dapat digunakan untuk serangan phishing.
Pengguna harus waspada terhadap setiap permintaan transaksi yang tidak diketahui, memeriksa detail transaksi dengan cermat, dan tidak mudah menyetujui permintaan dari sumber yang tidak dikenal.
Protokol dan platform yang relevan harus mempertimbangkan untuk memperkenalkan mekanisme verifikasi yang lebih ketat untuk memastikan bahwa informasi yang ditampilkan kepada pengguna adalah otentik dan dapat diandalkan.
! [Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal
! Mengungkap Penipuan Baru Dompet Seluler Web3.0: Serangan Phishing Modal: Phishing Modal
Karena teknologi Web3 terus berkembang, peningkatan kesadaran keamanan sangat penting bagi pengguna dan pengembang. Hanya dengan tetap waspada dan terus meningkatkan langkah-langkah keamanan Anda, Anda dapat secara efektif mencegah jenis serangan phishing baru ini.