# ウェブ3.0移動ウォレット新型目薬:モーダルフィッシング攻撃最近、私たちはウェブ3.0モバイルウォレットに対する新しいフィッシング技術を発見しました。この技術は、ユーザーが分散型アプリケーション(DApp)に接続する際に誤った判断をする可能性があります。この新しいフィッシング技術を"モーダルフィッシング攻撃"(Modal Phishing)と名付けました。この攻撃では、ハッカーはモバイルウォレットに偽の情報を送信し、合法的なDAppを装って、ウォレットのモーダルウィンドウに誤解を招く情報を表示することで、ユーザーに取引を承認させるように仕向けます。現在、このフィッシング技術は広く使用されています。私たちは関連コンポーネントの開発者と連絡を取り、リスクを軽減するための新しい検証APIを発表する予定であると彼らは述べています。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## モーダルフィッシング攻撃の原理モバイルウォレットのセキュリティ研究を行っている際に、ウェブ3.0暗号ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者に制御される可能性があり、フィッシング攻撃が行われることに注意しました。この攻撃はモーダルフィッシングと呼ばれるのは、攻撃者が主に暗号ウォレットのモーダルウィンドウをターゲットにして操作するためです。モーダルウィンドウは、モバイルアプリケーションで一般的に使用されるUI要素で、通常アプリケーションのメインウィンドウの上部に表示されます。このデザインは、ユーザーが迅速な操作を行うのに便利で、例えばウェブ3.0暗号ウォレットの取引リクエストを承認または拒否することができます。典型的なウェブ3.0暗号ウォレットのモーダルウィンドウデザインは、ユーザーが確認するために必要な取引情報を提供し、リクエストを承認または拒否するボタンを備えています。しかし、これらのユーザーインターフェース要素は攻撃者によって制御され、モーダルフィッシング攻撃を実施するために使用される可能性があります。攻撃者は取引の詳細を変更し、取引要求を信頼できるソースからの安全な更新要求として偽装して、ユーザーに承認を促すことができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)## モーダルフィッシング攻撃の二つの典型的なケース###ケース1:Wallet ConnectによるDAppフィッシング攻撃ウォレットコネクトは、QRコードまたはディープリンクを介してユーザーのウォレットをDAppに接続するための広く使われているオープンソースプロトコルです。ウェブ3.0暗号ウォレットとDAppのペアリングプロセスでは、ウォレットがモーダルウィンドウを表示し、DAppの名前、ウェブサイトのアドレス、アイコン、説明を含む受信したペアリングリクエストのメタ情報を示します。しかし、これらの情報はDAppによって提供されており、ウォレットはその真実性を検証しません。フィッシング攻撃では、攻撃者は正当なDAppを装い、ユーザーを騙して接続させることができます。攻撃者はDAppの情報UI要素(名前、アイコンなど)を制御できるため、ユーザーを欺いて着信トランザクションを承認させることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)### ケース2:MetaMaskを通じてスマートコントラクト情報のフィッシングMetaMaskの取引承認モーダルウィンドウには、DApp情報に加えて取引タイプを表示するUI要素があります。MetaMaskはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名を照会します。しかし、これも攻撃者によって悪用される可能性があります。攻撃者は、"SecurityUpdate"という名前の関数を含むフィッシングスマートコントラクトを作成し、それを人間が読み取れる文字列として登録できます。MetaMaskがこのフィッシングスマートコントラクトを解析すると、承認モーダルでユーザーにこの関数名を表示し、取引が安全な更新要求のように見えるようにします。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)## 予防に関する推奨事項1. ウォレットアプリケーションの開発者は常に外部から受信するデータが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その情報の合法性を検証するべきです。2. ユーザーは、未知の取引リクエストに対して警戒を怠らず、モーダルウィンドウに表示される情報を簡単に信じてはいけません。3. ウォレットコネクトなどのプロトコル開発者は、DApp情報の有効性と合法性を事前に検証することを検討すべきです。4. ウォレットアプリ開発者は、フィッシング攻撃に使用される可能性のある単語をフィルタリングするための予防措置を講じるべきです。総じて、モーダルフィッシング攻撃の根本的な原因は、ウォレットアプリケーションが提示されたUI要素の合法性を徹底的に検証していないことにあります。ウェブ3.0エコシステムの安全を確保するために、開発者とユーザーは警戒を高め、必要な防護措置を講じる必要があります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)
Web3モバイルウォレットがモーダルフィッシング攻撃に遭遇 ユーザーは新しい型の目薬に警戒する必要があります
ウェブ3.0移動ウォレット新型目薬:モーダルフィッシング攻撃
最近、私たちはウェブ3.0モバイルウォレットに対する新しいフィッシング技術を発見しました。この技術は、ユーザーが分散型アプリケーション(DApp)に接続する際に誤った判断をする可能性があります。この新しいフィッシング技術を"モーダルフィッシング攻撃"(Modal Phishing)と名付けました。
この攻撃では、ハッカーはモバイルウォレットに偽の情報を送信し、合法的なDAppを装って、ウォレットのモーダルウィンドウに誤解を招く情報を表示することで、ユーザーに取引を承認させるように仕向けます。現在、このフィッシング技術は広く使用されています。私たちは関連コンポーネントの開発者と連絡を取り、リスクを軽減するための新しい検証APIを発表する予定であると彼らは述べています。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
モーダルフィッシング攻撃の原理
モバイルウォレットのセキュリティ研究を行っている際に、ウェブ3.0暗号ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者に制御される可能性があり、フィッシング攻撃が行われることに注意しました。この攻撃はモーダルフィッシングと呼ばれるのは、攻撃者が主に暗号ウォレットのモーダルウィンドウをターゲットにして操作するためです。
モーダルウィンドウは、モバイルアプリケーションで一般的に使用されるUI要素で、通常アプリケーションのメインウィンドウの上部に表示されます。このデザインは、ユーザーが迅速な操作を行うのに便利で、例えばウェブ3.0暗号ウォレットの取引リクエストを承認または拒否することができます。典型的なウェブ3.0暗号ウォレットのモーダルウィンドウデザインは、ユーザーが確認するために必要な取引情報を提供し、リクエストを承認または拒否するボタンを備えています。
しかし、これらのユーザーインターフェース要素は攻撃者によって制御され、モーダルフィッシング攻撃を実施するために使用される可能性があります。攻撃者は取引の詳細を変更し、取引要求を信頼できるソースからの安全な更新要求として偽装して、ユーザーに承認を促すことができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
モーダルフィッシング攻撃の二つの典型的なケース
###ケース1:Wallet ConnectによるDAppフィッシング攻撃
ウォレットコネクトは、QRコードまたはディープリンクを介してユーザーのウォレットをDAppに接続するための広く使われているオープンソースプロトコルです。ウェブ3.0暗号ウォレットとDAppのペアリングプロセスでは、ウォレットがモーダルウィンドウを表示し、DAppの名前、ウェブサイトのアドレス、アイコン、説明を含む受信したペアリングリクエストのメタ情報を示します。
しかし、これらの情報はDAppによって提供されており、ウォレットはその真実性を検証しません。フィッシング攻撃では、攻撃者は正当なDAppを装い、ユーザーを騙して接続させることができます。攻撃者はDAppの情報UI要素(名前、アイコンなど)を制御できるため、ユーザーを欺いて着信トランザクションを承認させることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
ケース2:MetaMaskを通じてスマートコントラクト情報のフィッシング
MetaMaskの取引承認モーダルウィンドウには、DApp情報に加えて取引タイプを表示するUI要素があります。MetaMaskはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名を照会します。しかし、これも攻撃者によって悪用される可能性があります。
攻撃者は、"SecurityUpdate"という名前の関数を含むフィッシングスマートコントラクトを作成し、それを人間が読み取れる文字列として登録できます。MetaMaskがこのフィッシングスマートコントラクトを解析すると、承認モーダルでユーザーにこの関数名を表示し、取引が安全な更新要求のように見えるようにします。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
予防に関する推奨事項
ウォレットアプリケーションの開発者は常に外部から受信するデータが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その情報の合法性を検証するべきです。
ユーザーは、未知の取引リクエストに対して警戒を怠らず、モーダルウィンドウに表示される情報を簡単に信じてはいけません。
ウォレットコネクトなどのプロトコル開発者は、DApp情報の有効性と合法性を事前に検証することを検討すべきです。
ウォレットアプリ開発者は、フィッシング攻撃に使用される可能性のある単語をフィルタリングするための予防措置を講じるべきです。
総じて、モーダルフィッシング攻撃の根本的な原因は、ウォレットアプリケーションが提示されたUI要素の合法性を徹底的に検証していないことにあります。ウェブ3.0エコシステムの安全を確保するために、開発者とユーザーは警戒を高め、必要な防護措置を講じる必要があります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング