Web3.0 Ví tiền mới mối đe dọa an ninh: Tấn công lừa đảo mô hình
Gần đây, các nhà nghiên cứu an ninh đã phát hiện một loại kỹ thuật lừa đảo mới nhằm vào Ví tiền di động Web3.0, được gọi là "tấn công lừa đảo theo mô hình" (Modal Phishing). Kỹ thuật này lợi dụng các cửa sổ mô hình trong ứng dụng ví di động, thông qua việc hiển thị thông tin gây hiểu lầm để dụ dỗ người dùng phê duyệt giao dịch độc hại.
Nguyên lý của cuộc tấn công lừa đảo mô-đun
Các cuộc tấn công lừa đảo bằng modal chủ yếu nhằm vào các cửa sổ modal của ví tiền tiền điện tử. Cửa sổ modal là một yếu tố giao diện người dùng phổ biến trong các ứng dụng di động, thường được sử dụng để hiển thị các thông tin quan trọng như yêu cầu giao dịch. Kẻ tấn công có thể thao túng một số yếu tố UI trong các cửa sổ này, khiến chúng trông giống như là yêu cầu từ các ứng dụng hợp pháp.
Có hai phương thức tấn công chính:
Kiểm soát thông tin DApp thông qua giao thức Wallet Connect
Thao tác hiển thị thông tin hợp đồng thông minh trong một số ứng dụng Ví tiền
Lỗ hổng giao thức Wallet Connect
Wallet Connect là một giao thức mã nguồn mở được sử dụng rộng rãi để kết nối ví của người dùng với DApp. Nghiên cứu cho thấy giao thức này không thực hiện xác thực hiệu lực khi truyền tải thông tin DApp. Kẻ tấn công có thể giả mạo tên DApp, địa chỉ web và biểu tượng, khiến các yêu cầu lừa đảo trông có vẻ như đến từ ứng dụng hợp pháp.
Thông tin lừa đảo hợp đồng thông minh
Lấy ví dụ từ một ví di động nổi tiếng, khi hiển thị loại giao dịch, nó sẽ đọc byte chữ ký của hợp đồng thông minh và truy vấn tên phương thức tương ứng. Kẻ tấn công có thể tạo ra các hợp đồng thông minh độc hại với tên gọi gây hiểu lầm (như "SecurityUpdate"), khiến yêu cầu giao dịch trông giống như cập nhật bảo mật.
Đề xuất phòng ngừa
Đối với các nhà phát triển Ví tiền:
Luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy
Chọn lọc thông tin hiển thị cho người dùng một cách cẩn thận và xác minh tính hợp pháp của nó.
Lọc các từ có thể được sử dụng cho các cuộc tấn công lừa đảo
Đối với người dùng:
Giữ cảnh giác đối với mỗi yêu cầu giao dịch không xác định
Kiểm tra kỹ thông tin giao dịch, đừng quá tin vào thông tin hiển thị trong cửa sổ mô hình.
Cập nhật thường xuyên Ví tiền để nhận được bảo mật mới nhất
Với sự phát triển của công nghệ Web3.0, các mối đe dọa an ninh tương tự có thể sẽ xuất hiện liên tục. Người dùng và nhà phát triển đều cần nâng cao nhận thức về an ninh, cùng nhau duy trì sự an toàn của hệ sinh thái tiền điện tử.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
4
Đăng lại
Chia sẻ
Bình luận
0/400
MEVSandwichMaker
· 08-09 16:22
Mệt mỏi quá, bên dự án chơi ngày càng tinh vi. Có lẽ phải đổi một cái ví tiền.
Xem bản gốcTrả lời0
GasFeeThunder
· 08-09 16:20
Một cái bẫy gas nữa, dữ liệu cho thấy đã mất 27.3w u.
Xem bản gốcTrả lời0
JustHereForAirdrops
· 08-09 15:59
Lại là một chiêu lừa đảo mới, đồng coin của tôi sắp bị lừa sạch rồi.
Web3.0 Ví tiền mới bị đe dọa: Nguyên lý và phòng ngừa tấn công lừa đảo mô hình
Web3.0 Ví tiền mới mối đe dọa an ninh: Tấn công lừa đảo mô hình
Gần đây, các nhà nghiên cứu an ninh đã phát hiện một loại kỹ thuật lừa đảo mới nhằm vào Ví tiền di động Web3.0, được gọi là "tấn công lừa đảo theo mô hình" (Modal Phishing). Kỹ thuật này lợi dụng các cửa sổ mô hình trong ứng dụng ví di động, thông qua việc hiển thị thông tin gây hiểu lầm để dụ dỗ người dùng phê duyệt giao dịch độc hại.
Nguyên lý của cuộc tấn công lừa đảo mô-đun
Các cuộc tấn công lừa đảo bằng modal chủ yếu nhằm vào các cửa sổ modal của ví tiền tiền điện tử. Cửa sổ modal là một yếu tố giao diện người dùng phổ biến trong các ứng dụng di động, thường được sử dụng để hiển thị các thông tin quan trọng như yêu cầu giao dịch. Kẻ tấn công có thể thao túng một số yếu tố UI trong các cửa sổ này, khiến chúng trông giống như là yêu cầu từ các ứng dụng hợp pháp.
Có hai phương thức tấn công chính:
Lỗ hổng giao thức Wallet Connect
Wallet Connect là một giao thức mã nguồn mở được sử dụng rộng rãi để kết nối ví của người dùng với DApp. Nghiên cứu cho thấy giao thức này không thực hiện xác thực hiệu lực khi truyền tải thông tin DApp. Kẻ tấn công có thể giả mạo tên DApp, địa chỉ web và biểu tượng, khiến các yêu cầu lừa đảo trông có vẻ như đến từ ứng dụng hợp pháp.
Thông tin lừa đảo hợp đồng thông minh
Lấy ví dụ từ một ví di động nổi tiếng, khi hiển thị loại giao dịch, nó sẽ đọc byte chữ ký của hợp đồng thông minh và truy vấn tên phương thức tương ứng. Kẻ tấn công có thể tạo ra các hợp đồng thông minh độc hại với tên gọi gây hiểu lầm (như "SecurityUpdate"), khiến yêu cầu giao dịch trông giống như cập nhật bảo mật.
Đề xuất phòng ngừa
Đối với các nhà phát triển Ví tiền:
Đối với người dùng:
Với sự phát triển của công nghệ Web3.0, các mối đe dọa an ninh tương tự có thể sẽ xuất hiện liên tục. Người dùng và nhà phát triển đều cần nâng cao nhận thức về an ninh, cùng nhau duy trì sự an toàn của hệ sinh thái tiền điện tử.