Веб 3.0 мобильный кошелек новый тип промывания глаз: модальная фишинг-атака
Недавно мы обнаружили новый тип фишинговой технологии, направленной на мобильные Кошельки Web3.0, которая может вводить пользователей в заблуждение при подключении к децентрализованным приложениям (DApp). Мы назвали эту новую фишинговую технологию "модальная фишинг-атака" (Modal Phishing).
В этой атаке хакеры могут отправлять поддельные сообщения в мобильный Кошелек, выдавая себя за легитимные DApp, и обманывать пользователей, показывая вводящую в заблуждение информацию в модальном окне Кошелька, чтобы заставить их одобрить транзакцию. В настоящее время эта техника фишинга широко используется. Мы уже связались с разработчиками соответствующих компонентов, и они сообщили, что выпустят новое API для проверки, чтобы снизить этот риск.
Принцип модального фишинга
При проведении исследований безопасности мобильных кошельков мы заметили, что некоторые элементы пользовательского интерфейса (UI) криптокошельков Веб 3.0 могут находиться под контролем злоумышленников, что позволяет им проводить фишинговые атаки. Это называется модальным фишингом, потому что злоумышленники в основном нацеливаются на модальные окна криптокошельков.
Модальное окно является распространенным элементом пользовательского интерфейса в мобильных приложениях и обычно отображается в верхней части основного окна приложения. Этот дизайн часто используется для удобства пользователей при выполнении быстрых действий, таких как одобрение или отклонение запросов на транзакции в Веб 3.0 криптокошельке. Типичное модальное окно криптокошелька Веб 3.0 обычно предоставляет необходимую информацию о транзакции для проверки пользователем, а также кнопки для одобрения или отклонения запроса.
Однако эти элементы пользовательского интерфейса могут быть контролируемы злоумышленниками и использованы для осуществления модальных фишинговых атак. Злоумышленники могут изменить детали транзакции, замаскировав запрос на транзакцию под безопасный запрос на обновление от надежного источника, чтобы заставить пользователя одобрить.
Два типичных случая модальных рыболовных атак
Пример 1: Фишинг-атака на DApp через Кошелек Connect
Wallet Connect является широко используемым открытым протоколом, который используется для соединения кошелька пользователя с DApp через QR-код или глубокую ссылку. В процессе сопряжения крипто кошелька и DApp в Веб 3.0 кошелек отображает модальное окно, показывающее метаданные входящего запроса на сопряжение, включая название DApp, адрес сайта, иконку и описание.
Однако эта информация предоставляется DApp, и Кошелек не проверяет ее достоверность. В случае фишинговой атаки злоумышленник может выдать себя за законный DApp и обмануть пользователя, заставив его подключиться к нему. Злоумышленник может контролировать элементы UI информации DApp (такие как название, иконка и т.д.), чтобы обмануть пользователя и получить одобрение на входящие транзакции.
Пример 2: Фишинг информации о смарт-контрактах через MetaMask
В модальном окне одобрения транзакций MetaMask, помимо информации о DApp, есть элемент интерфейса, отображающий тип транзакции. MetaMask считывает байты подписи смарт-контракта и использует реестр методов на блокчейне для запроса соответствующего названия метода. Тем не менее, это также может быть использовано злоумышленниками.
Атакующий может создать фишинговый смарт-контракт, который содержит функцию под названием "SecurityUpdate" и зарегистрировать ее как строку, читаемую человеком. Когда MetaMask анализирует этот фишинговый смарт-контракт, он отображает это название функции пользователю в модальном окне одобрения, заставляя транзакцию выглядеть как запрос на обновление безопасности.
Рекомендации по предотвращению
Разработчики приложений для Кошелька всегда должны предполагать, что входящие данные из внешних источников недостоверны, тщательно выбирая, какую информацию показывать пользователю, и проверяя легитимность этой информации.
Пользователи должны быть осторожны с каждым неизвестным запросом на транзакцию и не доверять информации, отображаемой в модальном окне.
Разработчики протоколов, таких как Wallet Connect, должны учитывать необходимость предварительной проверки действительности и законности информации о DApp.
Разработчики кошельков должны принимать меры предосторожности, фильтруя слова, которые могут быть использованы для фишинговых атак.
В общем, основная причина атак модального фишинга заключается в том, что приложения для кошельков не проверяют должным образом легитимность представленных элементов пользовательского интерфейса. Для обеспечения безопасности экосистемы Веб 3.0 разработчики и пользователи должны быть бдительными и принимать необходимые меры предосторожности.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
6
Репост
Поделиться
комментарий
0/400
MetaverseLandlord
· 11ч назад
Эй, этот мошенник уже в ритме Web3. Подключайся!
Посмотреть ОригиналОтветить0
ser_ngmi
· 11ч назад
Ха, снова придумали новый способ играть за неудачников
Посмотреть ОригиналОтветить0
LayerZeroHero
· 11ч назад
Снова обнаружен вектор атаки. Проведено более 1600 тестов, и факт подтверждает, что эта уязвимость слишком опасна.
Посмотреть ОригиналОтветить0
CryptoAdventurer
· 11ч назад
Еще одна возможность заплатить налог на интеллект. Смотрим, кто первый разыграет людей как лохов.
Посмотреть ОригиналОтветить0
TaxEvader
· 12ч назад
Раньше говорил, что не стоит трогать кошельки, которые не имеют открытого исходного кода.
Посмотреть ОригиналОтветить0
UnluckyLemur
· 12ч назад
Обманутый однажды старый неудачник теперь ко всему относится с осторожностью.
Web3 мобильный Кошелек столкнулся с модальным фишингом, пользователям следует быть осторожными с новым типом промывания глаз.
Веб 3.0 мобильный кошелек новый тип промывания глаз: модальная фишинг-атака
Недавно мы обнаружили новый тип фишинговой технологии, направленной на мобильные Кошельки Web3.0, которая может вводить пользователей в заблуждение при подключении к децентрализованным приложениям (DApp). Мы назвали эту новую фишинговую технологию "модальная фишинг-атака" (Modal Phishing).
В этой атаке хакеры могут отправлять поддельные сообщения в мобильный Кошелек, выдавая себя за легитимные DApp, и обманывать пользователей, показывая вводящую в заблуждение информацию в модальном окне Кошелька, чтобы заставить их одобрить транзакцию. В настоящее время эта техника фишинга широко используется. Мы уже связались с разработчиками соответствующих компонентов, и они сообщили, что выпустят новое API для проверки, чтобы снизить этот риск.
Принцип модального фишинга
При проведении исследований безопасности мобильных кошельков мы заметили, что некоторые элементы пользовательского интерфейса (UI) криптокошельков Веб 3.0 могут находиться под контролем злоумышленников, что позволяет им проводить фишинговые атаки. Это называется модальным фишингом, потому что злоумышленники в основном нацеливаются на модальные окна криптокошельков.
Модальное окно является распространенным элементом пользовательского интерфейса в мобильных приложениях и обычно отображается в верхней части основного окна приложения. Этот дизайн часто используется для удобства пользователей при выполнении быстрых действий, таких как одобрение или отклонение запросов на транзакции в Веб 3.0 криптокошельке. Типичное модальное окно криптокошелька Веб 3.0 обычно предоставляет необходимую информацию о транзакции для проверки пользователем, а также кнопки для одобрения или отклонения запроса.
Однако эти элементы пользовательского интерфейса могут быть контролируемы злоумышленниками и использованы для осуществления модальных фишинговых атак. Злоумышленники могут изменить детали транзакции, замаскировав запрос на транзакцию под безопасный запрос на обновление от надежного источника, чтобы заставить пользователя одобрить.
Два типичных случая модальных рыболовных атак
Пример 1: Фишинг-атака на DApp через Кошелек Connect
Wallet Connect является широко используемым открытым протоколом, который используется для соединения кошелька пользователя с DApp через QR-код или глубокую ссылку. В процессе сопряжения крипто кошелька и DApp в Веб 3.0 кошелек отображает модальное окно, показывающее метаданные входящего запроса на сопряжение, включая название DApp, адрес сайта, иконку и описание.
Однако эта информация предоставляется DApp, и Кошелек не проверяет ее достоверность. В случае фишинговой атаки злоумышленник может выдать себя за законный DApp и обмануть пользователя, заставив его подключиться к нему. Злоумышленник может контролировать элементы UI информации DApp (такие как название, иконка и т.д.), чтобы обмануть пользователя и получить одобрение на входящие транзакции.
! Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака
Пример 2: Фишинг информации о смарт-контрактах через MetaMask
В модальном окне одобрения транзакций MetaMask, помимо информации о DApp, есть элемент интерфейса, отображающий тип транзакции. MetaMask считывает байты подписи смарт-контракта и использует реестр методов на блокчейне для запроса соответствующего названия метода. Тем не менее, это также может быть использовано злоумышленниками.
Атакующий может создать фишинговый смарт-контракт, который содержит функцию под названием "SecurityUpdate" и зарегистрировать ее как строку, читаемую человеком. Когда MetaMask анализирует этот фишинговый смарт-контракт, он отображает это название функции пользователю в модальном окне одобрения, заставляя транзакцию выглядеть как запрос на обновление безопасности.
Рекомендации по предотвращению
Разработчики приложений для Кошелька всегда должны предполагать, что входящие данные из внешних источников недостоверны, тщательно выбирая, какую информацию показывать пользователю, и проверяя легитимность этой информации.
Пользователи должны быть осторожны с каждым неизвестным запросом на транзакцию и не доверять информации, отображаемой в модальном окне.
Разработчики протоколов, таких как Wallet Connect, должны учитывать необходимость предварительной проверки действительности и законности информации о DApp.
Разработчики кошельков должны принимать меры предосторожности, фильтруя слова, которые могут быть использованы для фишинговых атак.
В общем, основная причина атак модального фишинга заключается в том, что приложения для кошельков не проверяют должным образом легитимность представленных элементов пользовательского интерфейса. Для обеспечения безопасности экосистемы Веб 3.0 разработчики и пользователи должны быть бдительными и принимать необходимые меры предосторожности.