Веб 3.0 мобільний гаманець новий тип фішингової атаки: обман модального вікна
Нещодавно новий тип фішингової техніки, спрямований на гаманець Web3.0, привернув увагу експертів з безпеки. Цей метод атаки називається "модальним фішингом" (Modal Phishing) і в основному використовує модальні вікна в мобільних гаманцях для введення користувачів в оману.
Зловмисники надсилають неправдиву інформацію до мобільного гаманця, маскуючись під легітимний децентралізований додаток (DApp), і відображають оманливий контент у модальному вікні гаманця, спонукаючи користувача підтвердити шкідливу транзакцію. Ця техніка фішингу наразі широко використовується на багатьох платформах.
Принципи атак модального фішингу
Модальні вікна є поширеним елементом інтерфейсу користувача в мобільних додатках, зазвичай використовуються для відображення важливої інформації, такої як запити на транзакції. У Веб 3.0 Гаманець ці вікна показують деталі транзакції, особу запитувача та іншу ключову інформацію, щоб користувач міг перевірити та вирішити, чи затвердити.
Однак дослідження виявило, що деякі елементи інтерфейсу користувача в цих модальних вікнах можуть контролюватися зловмисниками, що дозволяє здійснювати фішинг-атаки. Існує два основних вразливості:
Під час використання протоколу Wallet Connect зловмисник може контролювати відображення інформації DApp, такої як назва, значок тощо.
У деяких гаманець додатках зловмисники можуть маніпулювати відображенням інформації про смарт-контракти.
Типові випадки атак
Приклад 1: Фішинг DApp через Гаманець Connect
Wallet Connect є популярним відкритим протоколом для з'єднання гаманців користувачів з DApp. Під час процесу спарювання гаманець відображає метадані, надані DApp, які включають назву, веб-сайт, значок тощо. Однак ця інформація не перевіряється.
Зловмисники можуть підробляти цю інформацію, видаючи себе за відомі DApp (наприклад, Uniswap), щоб спонукати користувачів підключитися. Щойно з'єднання буде встановлено, зловмисники зможуть надсилати шкідливі запити на транзакції, щоб вкрасти кошти користувачів.
Приклад 2: Фішинг інформації про смарт-контракти MetaMask
Гаманець MetaMask та інші гаманці відображають назви методів смарт-контрактів на екрані затвердження транзакцій. Зловмисники можуть реєструвати смарт-контракти з оманливими назвами методів (наприклад, "SecurityUpdate"), щоб запити на транзакції виглядали так, ніби вони походять з офіційного безпечного оновлення гаманця.
Об'єднавши підроблену інформацію про DApp, зловмисники можуть створити дуже оманливі запити на транзакції, спонукаючи користувачів схвалити шкідливі дії.
Рекомендації щодо запобігання
Розробники гаманець повинні завжди вважати зовнішні дані ненадійними і перевіряти всю інформацію, що надається користувачам.
Протоколи, такі як Wallet Connect, повинні розглянути можливість додавання механізму верифікації інформації DApp.
Гаманець додаток повинен моніторити та фільтрувати можливі чутливі слова, які можуть бути використані для фішингу.
Користувачі повинні бути обережними при затвердженні будь-яких невідомих запитів на транзакції та уважно перевіряти інформацію про транзакцію.
Провайдери гаманців повинні посилити безпеку дизайну ключових елементів інтерфейсу користувача, таких як модальні вікна.
Отже, з розвитком екосистеми Веб 3.0 користувачам і розробникам потрібно підвищити обізнаність щодо безпеки та спільно протистояти постійно змінюваним мережевим загрозам. Щодо кожного запиту на транзакцію, надзвичайно важливо зберігати помірну недовіру та обережність.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 лайків
Нагородити
9
3
Поділіться
Прокоментувати
0/400
LiquidationAlert
· 13год тому
пастка层出不穷了
Переглянути оригіналвідповісти на0
ServantOfSatoshi
· 13год тому
Обережно, підроблені фішингові монети
Переглянути оригіналвідповісти на0
LiquidationWatcher
· 13год тому
Ще один новий тип шахрайства націлений на гаманець
Веб 3.0 Гаманець遭遇模态钓鱼攻击 警惕伪装DApp诱骗
Веб 3.0 мобільний гаманець новий тип фішингової атаки: обман модального вікна
Нещодавно новий тип фішингової техніки, спрямований на гаманець Web3.0, привернув увагу експертів з безпеки. Цей метод атаки називається "модальним фішингом" (Modal Phishing) і в основному використовує модальні вікна в мобільних гаманцях для введення користувачів в оману.
Зловмисники надсилають неправдиву інформацію до мобільного гаманця, маскуючись під легітимний децентралізований додаток (DApp), і відображають оманливий контент у модальному вікні гаманця, спонукаючи користувача підтвердити шкідливу транзакцію. Ця техніка фішингу наразі широко використовується на багатьох платформах.
Принципи атак модального фішингу
Модальні вікна є поширеним елементом інтерфейсу користувача в мобільних додатках, зазвичай використовуються для відображення важливої інформації, такої як запити на транзакції. У Веб 3.0 Гаманець ці вікна показують деталі транзакції, особу запитувача та іншу ключову інформацію, щоб користувач міг перевірити та вирішити, чи затвердити.
Однак дослідження виявило, що деякі елементи інтерфейсу користувача в цих модальних вікнах можуть контролюватися зловмисниками, що дозволяє здійснювати фішинг-атаки. Існує два основних вразливості:
Типові випадки атак
Приклад 1: Фішинг DApp через Гаманець Connect
Wallet Connect є популярним відкритим протоколом для з'єднання гаманців користувачів з DApp. Під час процесу спарювання гаманець відображає метадані, надані DApp, які включають назву, веб-сайт, значок тощо. Однак ця інформація не перевіряється.
Зловмисники можуть підробляти цю інформацію, видаючи себе за відомі DApp (наприклад, Uniswap), щоб спонукати користувачів підключитися. Щойно з'єднання буде встановлено, зловмисники зможуть надсилати шкідливі запити на транзакції, щоб вкрасти кошти користувачів.
Приклад 2: Фішинг інформації про смарт-контракти MetaMask
Гаманець MetaMask та інші гаманці відображають назви методів смарт-контрактів на екрані затвердження транзакцій. Зловмисники можуть реєструвати смарт-контракти з оманливими назвами методів (наприклад, "SecurityUpdate"), щоб запити на транзакції виглядали так, ніби вони походять з офіційного безпечного оновлення гаманця.
Об'єднавши підроблену інформацію про DApp, зловмисники можуть створити дуже оманливі запити на транзакції, спонукаючи користувачів схвалити шкідливі дії.
Рекомендації щодо запобігання
Розробники гаманець повинні завжди вважати зовнішні дані ненадійними і перевіряти всю інформацію, що надається користувачам.
Протоколи, такі як Wallet Connect, повинні розглянути можливість додавання механізму верифікації інформації DApp.
Гаманець додаток повинен моніторити та фільтрувати можливі чутливі слова, які можуть бути використані для фішингу.
Користувачі повинні бути обережними при затвердженні будь-яких невідомих запитів на транзакції та уважно перевіряти інформацію про транзакцію.
Провайдери гаманців повинні посилити безпеку дизайну ключових елементів інтерфейсу користувача, таких як модальні вікна.
Отже, з розвитком екосистеми Веб 3.0 користувачам і розробникам потрібно підвищити обізнаність щодо безпеки та спільно протистояти постійно змінюваним мережевим загрозам. Щодо кожного запиту на транзакцію, надзвичайно важливо зберігати помірну недовіру та обережність.