Web3 Ví tiền mới hình thức trò lừa bịp: tấn công lừa đảo mô hình
Gần đây, một kỹ thuật lừa đảo mới nhắm vào ví di động Web3 đã thu hút sự chú ý của các nhà nghiên cứu bảo mật. Được mệnh danh là "Phishing phương thức", kỹ thuật này chủ yếu đánh lừa người dùng bằng cách thao túng các cửa sổ phương thức của ví di động.
Kẻ tấn công có thể gửi tin nhắn giả mạo đến ví di động, mạo danh ứng dụng phi tập trung hợp pháp (DApp) và hiển thị nội dung gây hiểu lầm trong cửa sổ phương thức của ví để lừa người dùng phê duyệt giao dịch. Kỹ thuật câu cá này hiện được sử dụng rộng rãi. Các nhà phát triển thành phần có liên quan đã xác nhận rằng một API xác thực mới sẽ được phát hành để giảm rủi ro.
Nguyên tắc của các cuộc tấn công lừa đảo phương thức
Các cuộc tấn công lừa đảo theo phương thức chủ yếu được thực hiện chống lại các cửa sổ phương thức của ví tiền điện tử. Cửa sổ phương thức là một yếu tố giao diện người dùng thường được sử dụng trong ứng dụng dành cho thiết bị di động, thường được hiển thị ở đầu cửa sổ chính, cho các hành động nhanh chóng như phê duyệt hoặc từ chối yêu cầu giao dịch.
Một thiết kế phương thức ví Web3 điển hình sẽ cung cấp thông tin giao dịch và nút phê duyệt/từ chối. Tuy nhiên, các yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát để tấn công lừa đảo.
Wallet Connect là một giao thức mã nguồn mở phổ biến để kết nối ví người dùng với DApps. Trong quá trình ghép nối, ví hiển thị thông tin meta do DApp cung cấp, bao gồm tên, URL và biểu tượng. Tuy nhiên, thông tin này chưa được xác minh và những kẻ tấn công có thể giả mạo thông tin của các DApp hợp pháp.
Ví dụ: kẻ tấn công có thể mạo danh một DApp nổi tiếng để lừa người dùng kết nối với ví và phê duyệt giao dịch. Trong quá trình ghép nối, cửa sổ phương thức được hiển thị bởi ví sẽ hiển thị thông tin DApp có vẻ hợp pháp, điều này làm tăng độ tin cậy của cuộc tấn công.
2. Lừa đảo thông qua thông tin hợp đồng thông minh
Một số ứng dụng ví hiển thị tên phương thức của hợp đồng thông minh ở chế độ phê duyệt giao dịch. Những kẻ tấn công có thể đánh lừa người dùng bằng cách đăng ký một tên phương thức cụ thể, chẳng hạn như "SecurityUpdate".
Ví dụ: kẻ tấn công có thể tạo một hợp đồng thông minh lừa đảo có chứa một chức năng có tên là "SecurityUpdate". Khi người dùng xem yêu cầu giao dịch, họ sẽ thấy yêu cầu "cập nhật bảo mật" có vẻ như từ cơ quan chính thức của ví, làm tăng khả năng người dùng sẽ phê duyệt giao dịch độc hại.
Các nhà phát triển ví phải luôn xác minh tính hợp pháp của dữ liệu đến bên ngoài và không nên tin tưởng một cách mù quáng bất kỳ thông tin chưa được xác minh nào.
Nhà phát triển nên lựa chọn cẩn thận thông tin mà họ hiển thị cho người dùng và lọc nội dung có thể được sử dụng cho các cuộc tấn công lừa đảo.
Người dùng nên cảnh giác với mọi yêu cầu giao dịch không xác định, kiểm tra kỹ chi tiết giao dịch và không dễ dàng phê duyệt yêu cầu từ các nguồn không xác định.
Các giao thức và nền tảng có liên quan nên xem xét đưa ra các cơ chế xác minh chặt chẽ hơn để đảm bảo rằng thông tin hiển thị cho người dùng là xác thực và đáng tin cậy.
! [Làm sáng tỏ trò lừa đảo mới về ví di động Web3.0: Tấn công lừa đảo phương thức] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
Khi công nghệ Web3 tiếp tục phát triển, việc nâng cao nhận thức về bảo mật là điều cần thiết cho cả người dùng và nhà phát triển. Chỉ bằng cách cảnh giác và không ngừng cải thiện các biện pháp bảo mật của mình, bạn mới có thể ngăn chặn hiệu quả các loại tấn công lừa đảo mới này.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Mô hình lừa đảo: Những mối đe dọa an ninh mới đối với ví tiền di động Web3
Web3 Ví tiền mới hình thức trò lừa bịp: tấn công lừa đảo mô hình
Gần đây, một kỹ thuật lừa đảo mới nhắm vào ví di động Web3 đã thu hút sự chú ý của các nhà nghiên cứu bảo mật. Được mệnh danh là "Phishing phương thức", kỹ thuật này chủ yếu đánh lừa người dùng bằng cách thao túng các cửa sổ phương thức của ví di động.
Kẻ tấn công có thể gửi tin nhắn giả mạo đến ví di động, mạo danh ứng dụng phi tập trung hợp pháp (DApp) và hiển thị nội dung gây hiểu lầm trong cửa sổ phương thức của ví để lừa người dùng phê duyệt giao dịch. Kỹ thuật câu cá này hiện được sử dụng rộng rãi. Các nhà phát triển thành phần có liên quan đã xác nhận rằng một API xác thực mới sẽ được phát hành để giảm rủi ro.
! Làm sáng tỏ trò lừa đảo mới về ví di động Web3.0: Tấn công lừa đảo phương thức
Nguyên tắc của các cuộc tấn công lừa đảo phương thức
Các cuộc tấn công lừa đảo theo phương thức chủ yếu được thực hiện chống lại các cửa sổ phương thức của ví tiền điện tử. Cửa sổ phương thức là một yếu tố giao diện người dùng thường được sử dụng trong ứng dụng dành cho thiết bị di động, thường được hiển thị ở đầu cửa sổ chính, cho các hành động nhanh chóng như phê duyệt hoặc từ chối yêu cầu giao dịch.
Một thiết kế phương thức ví Web3 điển hình sẽ cung cấp thông tin giao dịch và nút phê duyệt/từ chối. Tuy nhiên, các yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát để tấn công lừa đảo.
! Làm sáng tỏ trò lừa đảo mới về ví di động Web3.0: Tấn công lừa đảo phương thức
Các trường hợp tấn công
1. DApp lừa đảo qua Wallet Connect
Wallet Connect là một giao thức mã nguồn mở phổ biến để kết nối ví người dùng với DApps. Trong quá trình ghép nối, ví hiển thị thông tin meta do DApp cung cấp, bao gồm tên, URL và biểu tượng. Tuy nhiên, thông tin này chưa được xác minh và những kẻ tấn công có thể giả mạo thông tin của các DApp hợp pháp.
Ví dụ: kẻ tấn công có thể mạo danh một DApp nổi tiếng để lừa người dùng kết nối với ví và phê duyệt giao dịch. Trong quá trình ghép nối, cửa sổ phương thức được hiển thị bởi ví sẽ hiển thị thông tin DApp có vẻ hợp pháp, điều này làm tăng độ tin cậy của cuộc tấn công.
! Làm sáng tỏ trò lừa đảo mới về ví di động Web3.0: Tấn công lừa đảo phương thức
! Làm sáng tỏ trò lừa đảo mới về ví di động Web3.0: Lừa đảo phương thức tấn công lừa đảo phương thức
2. Lừa đảo thông qua thông tin hợp đồng thông minh
Một số ứng dụng ví hiển thị tên phương thức của hợp đồng thông minh ở chế độ phê duyệt giao dịch. Những kẻ tấn công có thể đánh lừa người dùng bằng cách đăng ký một tên phương thức cụ thể, chẳng hạn như "SecurityUpdate".
Ví dụ: kẻ tấn công có thể tạo một hợp đồng thông minh lừa đảo có chứa một chức năng có tên là "SecurityUpdate". Khi người dùng xem yêu cầu giao dịch, họ sẽ thấy yêu cầu "cập nhật bảo mật" có vẻ như từ cơ quan chính thức của ví, làm tăng khả năng người dùng sẽ phê duyệt giao dịch độc hại.
! Làm sáng tỏ trò lừa đảo mới về ví di động Web3.0: Cuộc tấn công lừa đảo theo phương thức
Khuyến nghị phòng ngừa
Các nhà phát triển ví phải luôn xác minh tính hợp pháp của dữ liệu đến bên ngoài và không nên tin tưởng một cách mù quáng bất kỳ thông tin chưa được xác minh nào.
Nhà phát triển nên lựa chọn cẩn thận thông tin mà họ hiển thị cho người dùng và lọc nội dung có thể được sử dụng cho các cuộc tấn công lừa đảo.
Người dùng nên cảnh giác với mọi yêu cầu giao dịch không xác định, kiểm tra kỹ chi tiết giao dịch và không dễ dàng phê duyệt yêu cầu từ các nguồn không xác định.
Các giao thức và nền tảng có liên quan nên xem xét đưa ra các cơ chế xác minh chặt chẽ hơn để đảm bảo rằng thông tin hiển thị cho người dùng là xác thực và đáng tin cậy.
! [Làm sáng tỏ trò lừa đảo mới về ví di động Web3.0: Tấn công lừa đảo phương thức] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Làm sáng tỏ trò lừa đảo mới về ví di động Web3.0: Tấn công lừa đảo theo phương thức: Lừa đảo theo phương thức
Khi công nghệ Web3 tiếp tục phát triển, việc nâng cao nhận thức về bảo mật là điều cần thiết cho cả người dùng và nhà phát triển. Chỉ bằng cách cảnh giác và không ngừng cải thiện các biện pháp bảo mật của mình, bạn mới có thể ngăn chặn hiệu quả các loại tấn công lừa đảo mới này.