Веб 3.0 мобільний гаманець нові загрози безпеці: модальні фішингові атаки
Нещодавно безпекові дослідники виявили новий тип фішингової технології, спрямованої на мобільні гаманці Web3.0, який називається "модальна фішинг-атака" (Modal Phishing). Ця атака використовує модальні вікна в мобільних гаманцях, показуючи оманливу інформацію, щоб спонукати користувачів схвалити шкідливі транзакції.
Принцип атаки модального фішингу
Модальні фішингові атаки в основному націлені на модальні вікна криптовалютних Гаманців. Модальні вікна є поширеним елементом інтерфейсу користувача в мобільних додатках, зазвичай використовуються для відображення важливої інформації, такої як запити на транзакцію. Зловмисники можуть маніпулювати деякими елементами UI в цих вікнах, змушуючи їх виглядати так, ніби запити надходять від легітимних додатків.
Основні існує два види атак:
Керування інформацією DApp через протокол Wallet Connect
Маніпуляція відображенням інформації про смарт-контракти в деяких гаманець додатках
Вразливість протоколу Wallet Connect
Wallet Connect є широко використовуваним відкритим протоколом для з'єднання гаманців користувачів з DApp. Дослідження показують, що протокол не виконує перевірку дійсності під час передачі інформації DApp. Зловмисники можуть підробити назву DApp, веб-сайт та інформацію про іконку, що робить фішингові запити схожими на легітимні додатки.
Інформаційне риболовство смарт-контрактів
Як приклад певного відомого мобільного гаманець, він під час відображення типу транзакції зчитує байти підпису смарт-контракту та запитує відповідну назву методу. Зловмисник може створити шкідливий смарт-контракт з оманливим ім'ям (наприклад, "SecurityUpdate"), що робить запит на транзакцію схожим на безпечне оновлення.
Рекомендації щодо запобігання
Для розробників гаманець:
Завжди вважайте, що вхідні зовнішні дані ненадійні
Уважно обирайте інформацію, яку будете показувати користувачеві, та перевіряйте її законність
Фільтрувати слова, які можуть бути використані для фішингових атак
Для користувачів:
Будьте обережні з кожним невідомим запитом на транзакцію
Уважно перевірте деталі транзакції, не довіряйте інформації, що відображається в модальному вікні.
Регулярно оновлюйте гаманець додаток, щоб отримати останні заходи безпеки
З розвитком технологій Веб 3.0 подібні загрози безпеці можуть постійно виникати. Користувачі та розробники повинні підвищити обізнаність про безпеку та спільно підтримувати безпеку екосистеми криптовалют.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
4
Репост
Поділіться
Прокоментувати
0/400
MEVSandwichMaker
· 08-09 16:22
Мене це дратує, вечірка проєкту грає все більш витончено. Схоже, треба змінити гаманець.
Переглянути оригіналвідповісти на0
GasFeeThunder
· 08-09 16:20
Ще одна газова пастка, дані показують, що вже втрачено 27.3w u.
Переглянути оригіналвідповісти на0
JustHereForAirdrops
· 08-09 15:59
Знову нова схема шахрайства, мої монети вже майже вкрадені.
Переглянути оригіналвідповісти на0
LiquidityWhisperer
· 08-09 15:57
Помри🐟 не попадайся на гачок, нова схема обману з'явилася
Нові загрози Веб 3.0: принципи та запобігання модальних фішингових атак
Веб 3.0 мобільний гаманець нові загрози безпеці: модальні фішингові атаки
Нещодавно безпекові дослідники виявили новий тип фішингової технології, спрямованої на мобільні гаманці Web3.0, який називається "модальна фішинг-атака" (Modal Phishing). Ця атака використовує модальні вікна в мобільних гаманцях, показуючи оманливу інформацію, щоб спонукати користувачів схвалити шкідливі транзакції.
Принцип атаки модального фішингу
Модальні фішингові атаки в основному націлені на модальні вікна криптовалютних Гаманців. Модальні вікна є поширеним елементом інтерфейсу користувача в мобільних додатках, зазвичай використовуються для відображення важливої інформації, такої як запити на транзакцію. Зловмисники можуть маніпулювати деякими елементами UI в цих вікнах, змушуючи їх виглядати так, ніби запити надходять від легітимних додатків.
Основні існує два види атак:
Вразливість протоколу Wallet Connect
Wallet Connect є широко використовуваним відкритим протоколом для з'єднання гаманців користувачів з DApp. Дослідження показують, що протокол не виконує перевірку дійсності під час передачі інформації DApp. Зловмисники можуть підробити назву DApp, веб-сайт та інформацію про іконку, що робить фішингові запити схожими на легітимні додатки.
Інформаційне риболовство смарт-контрактів
Як приклад певного відомого мобільного гаманець, він під час відображення типу транзакції зчитує байти підпису смарт-контракту та запитує відповідну назву методу. Зловмисник може створити шкідливий смарт-контракт з оманливим ім'ям (наприклад, "SecurityUpdate"), що робить запит на транзакцію схожим на безпечне оновлення.
Рекомендації щодо запобігання
Для розробників гаманець:
Для користувачів:
З розвитком технологій Веб 3.0 подібні загрози безпеці можуть постійно виникати. Користувачі та розробники повинні підвищити обізнаність про безпеку та спільно підтримувати безпеку екосистеми криптовалют.