Веб 3.0 мобильный Кошелек новая угроза безопасности: модальные фишинговые атаки
Недавно исследователи безопасности обнаружили новую технику фишинга, нацеленную на мобильные кошельки Веб 3.0, известную как "модальная атака фишинга" (Modal Phishing). Эта атака использует модальные окна в приложениях мобильных кошельков, чтобы обманным путем показать вводящую в заблуждение информацию и заставить пользователей одобрить вредоносные транзакции.
Принцип атак с модальным фишингом
Модальные фишинговые атаки в основном нацелены на модальные окна криптовалютных кошельков. Модальные окна — это распространенные элементы пользовательского интерфейса в мобильных приложениях, которые обычно используются для отображения важных сведений, таких как запросы на транзакции. Злоумышленники могут манипулировать некоторыми элементами пользовательского интерфейса в этих окнах, чтобы они выглядели как запросы от легитимных приложений.
Существует два основных вида атак:
Управление информацией DApp через протокол Wallet Connect
Манипуляция отображением информации о смарт-контрактах в некоторых Кошелек приложениях
Уязвимость протокола Wallet Connect
Wallet Connect — это широко используемый открытый протокол для подключения пользовательского Кошелек к DApp. Исследования показали, что этот протокол не проводит проверку действительности при передаче информации о DApp. Злоумышленники могут подделывать такие данные, как название DApp, адрес сайта и иконки, чтобы фишинговые запросы выглядели как исходящие от легитимного приложения.
Фишинг информации о смарт-контрактах
В качестве примера возьмем известный мобильный Кошелек, который при отображении типа транзакции будет считывать байты подписи смарт-контракта и запрашивать соответствующее имя метода. Злоумышленники могут создать вредоносный смарт-контракт с вводящим в заблуждение названием (например, "SecurityUpdate"), что сделает запрос транзакции похожим на безопасное обновление.
Всегда предполагайте, что входящие внешние данные ненадежны
Внимательно выбирайте информацию, которую будете показывать пользователям, и проверяйте ее легитимность
Фильтрация слов, которые могут быть использованы для фишинг-атак
Для пользователей:
Будьте осторожны с каждым неизвестным запросом на сделку
Тщательно проверьте детали сделки, не доверяйте информации, отображаемой в модальном окне.
Регулярно обновляйте Кошелек, чтобы получить последние меры безопасности
С развитием технологий Веб 3.0 подобные угрозы безопасности могут возникать постоянно. Пользователям и разработчикам необходимо повысить осведомленность о безопасности и совместно поддерживать безопасность экосистемы криптовалют.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
4
Репост
Поделиться
комментарий
0/400
MEVSandwichMaker
· 08-09 16:22
Что за ерунда, команда проекта становится все более изощренной. Похоже, нужно поменять кошелек.
Посмотреть ОригиналОтветить0
GasFeeThunder
· 08-09 16:20
Еще одна ловушка с Газом, данные показывают, что уже потеряно 27.3w u.
Посмотреть ОригиналОтветить0
JustHereForAirdrops
· 08-09 15:59
Снова новый способ обмана. Мои токены уже почти все украдены.
Посмотреть ОригиналОтветить0
LiquidityWhisperer
· 08-09 15:57
Не попадайтесь на уловки, новая схема мошенничества появилась.
Веб 3.0 Кошелек новая угроза: Принципы и меры предотвращения модальных фишинг-атак
Веб 3.0 мобильный Кошелек новая угроза безопасности: модальные фишинговые атаки
Недавно исследователи безопасности обнаружили новую технику фишинга, нацеленную на мобильные кошельки Веб 3.0, известную как "модальная атака фишинга" (Modal Phishing). Эта атака использует модальные окна в приложениях мобильных кошельков, чтобы обманным путем показать вводящую в заблуждение информацию и заставить пользователей одобрить вредоносные транзакции.
Принцип атак с модальным фишингом
Модальные фишинговые атаки в основном нацелены на модальные окна криптовалютных кошельков. Модальные окна — это распространенные элементы пользовательского интерфейса в мобильных приложениях, которые обычно используются для отображения важных сведений, таких как запросы на транзакции. Злоумышленники могут манипулировать некоторыми элементами пользовательского интерфейса в этих окнах, чтобы они выглядели как запросы от легитимных приложений.
Существует два основных вида атак:
Уязвимость протокола Wallet Connect
Wallet Connect — это широко используемый открытый протокол для подключения пользовательского Кошелек к DApp. Исследования показали, что этот протокол не проводит проверку действительности при передаче информации о DApp. Злоумышленники могут подделывать такие данные, как название DApp, адрес сайта и иконки, чтобы фишинговые запросы выглядели как исходящие от легитимного приложения.
Фишинг информации о смарт-контрактах
В качестве примера возьмем известный мобильный Кошелек, который при отображении типа транзакции будет считывать байты подписи смарт-контракта и запрашивать соответствующее имя метода. Злоумышленники могут создать вредоносный смарт-контракт с вводящим в заблуждение названием (например, "SecurityUpdate"), что сделает запрос транзакции похожим на безопасное обновление.
! Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака
Рекомендации по предотвращению
Для разработчиков кошельков:
Для пользователей:
С развитием технологий Веб 3.0 подобные угрозы безопасности могут возникать постоянно. Пользователям и разработчикам необходимо повысить осведомленность о безопасности и совместно поддерживать безопасность экосистемы криптовалют.