Ancaman Keamanan Baru Dompet Mobil Web3.0: Serangan Phishing Modus
Baru-baru ini, peneliti keamanan menemukan teknik phishing baru yang ditargetkan pada dompet seluler Web3.0, yang disebut "serangan phishing modal" (Modal Phishing). Serangan ini memanfaatkan jendela modal dalam aplikasi dompet seluler, dengan menampilkan informasi yang menyesatkan untuk menipu pengguna agar menyetujui transaksi berbahaya.
Prinsip Serangan Phishing Modal
Serangan phishing modal terutama menargetkan jendela modal dari dompet cryptocurrency. Jendela modal adalah elemen antarmuka pengguna yang umum di aplikasi seluler, biasanya digunakan untuk menampilkan informasi penting seperti permintaan transaksi. Penyerang dapat memanipulasi beberapa elemen UI dalam jendela ini sehingga terlihat seperti permintaan dari aplikasi yang sah.
Ada dua jenis serangan yang utama:
Mengontrol informasi DApp melalui protokol Wallet Connect
Mengendalikan tampilan informasi kontrak pintar di beberapa aplikasi Dompet
Kerentanan Protokol Wallet Connect
Wallet Connect adalah protokol sumber terbuka yang banyak digunakan untuk menghubungkan dompet pengguna dengan DApp. Penelitian menemukan bahwa protokol ini tidak melakukan verifikasi keabsahan saat mentransmisikan informasi DApp. Penyerang dapat memalsukan nama DApp, URL, dan ikon, sehingga permintaan phishing terlihat seperti berasal dari aplikasi yang sah.
Informasi Phishing Kontrak Pintar
Sebagai contoh dompet seluler terkenal, saat menampilkan jenis transaksi, ia akan membaca byte tanda tangan dari kontrak pintar dan mencari nama metode yang sesuai. Penyerang dapat membuat kontrak pintar jahat dengan nama yang menyesatkan (seperti "SecurityUpdate"), sehingga permintaan transaksi terlihat seperti pembaruan keamanan.
Saran Pencegahan
Untuk pengembang Dompet:
Selalu anggap data yang masuk dari luar tidak dapat dipercaya
Pilih dengan cermat informasi yang ditampilkan kepada pengguna, dan verifikasi legalitasnya
Menyaring kata-kata yang mungkin digunakan untuk serangan phishing
Untuk pengguna:
Waspadai setiap permintaan transaksi yang tidak dikenal
Periksa dengan cermat detail transaksi, jangan terlalu percaya pada informasi yang ditampilkan di jendela modal.
Perbarui aplikasi Dompet secara berkala untuk mendapatkan perlindungan keamanan terbaru
Seiring dengan perkembangan teknologi Web3.0, ancaman keamanan serupa mungkin akan terus muncul. Pengguna dan pengembang perlu meningkatkan kesadaran keamanan untuk bersama-sama menjaga keamanan ekosistem cryptocurrency.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
4
Posting ulang
Bagikan
Komentar
0/400
MEVSandwichMaker
· 08-09 16:22
Mau bagaimana lagi, tim proyek semakin bermain-main. Sepertinya harus ganti dompet.
Lihat AsliBalas0
GasFeeThunder
· 08-09 16:20
Satu lagi jebakan gas, data menunjukkan telah kehilangan 27,3w u.
Lihat AsliBalas0
JustHereForAirdrops
· 08-09 15:59
Ini adalah penipuan baru. Koin saya sudah hampir habis.
Lihat AsliBalas0
LiquidityWhisperer
· 08-09 15:57
Ikan mati 🐟 jangan terpancing, ada teknik penipuan baru.
Ancaman Baru Dompet Web3.0: Prinsip dan Pencegahan Serangan Phishing Modus
Ancaman Keamanan Baru Dompet Mobil Web3.0: Serangan Phishing Modus
Baru-baru ini, peneliti keamanan menemukan teknik phishing baru yang ditargetkan pada dompet seluler Web3.0, yang disebut "serangan phishing modal" (Modal Phishing). Serangan ini memanfaatkan jendela modal dalam aplikasi dompet seluler, dengan menampilkan informasi yang menyesatkan untuk menipu pengguna agar menyetujui transaksi berbahaya.
Prinsip Serangan Phishing Modal
Serangan phishing modal terutama menargetkan jendela modal dari dompet cryptocurrency. Jendela modal adalah elemen antarmuka pengguna yang umum di aplikasi seluler, biasanya digunakan untuk menampilkan informasi penting seperti permintaan transaksi. Penyerang dapat memanipulasi beberapa elemen UI dalam jendela ini sehingga terlihat seperti permintaan dari aplikasi yang sah.
Ada dua jenis serangan yang utama:
Kerentanan Protokol Wallet Connect
Wallet Connect adalah protokol sumber terbuka yang banyak digunakan untuk menghubungkan dompet pengguna dengan DApp. Penelitian menemukan bahwa protokol ini tidak melakukan verifikasi keabsahan saat mentransmisikan informasi DApp. Penyerang dapat memalsukan nama DApp, URL, dan ikon, sehingga permintaan phishing terlihat seperti berasal dari aplikasi yang sah.
Informasi Phishing Kontrak Pintar
Sebagai contoh dompet seluler terkenal, saat menampilkan jenis transaksi, ia akan membaca byte tanda tangan dari kontrak pintar dan mencari nama metode yang sesuai. Penyerang dapat membuat kontrak pintar jahat dengan nama yang menyesatkan (seperti "SecurityUpdate"), sehingga permintaan transaksi terlihat seperti pembaruan keamanan.
Saran Pencegahan
Untuk pengembang Dompet:
Untuk pengguna:
Seiring dengan perkembangan teknologi Web3.0, ancaman keamanan serupa mungkin akan terus muncul. Pengguna dan pengembang perlu meningkatkan kesadaran keamanan untuk bersama-sama menjaga keamanan ekosistem cryptocurrency.