Novo golpe de esquema de carteira móvel Web3: ataque de phishing modal
Recentemente, uma nova técnica de phishing direcionada a carteiras móveis Web3 chamou a atenção de pesquisadores de segurança. Apelidada de "Modal Phishing", a técnica engana principalmente os usuários manipulando as janelas modais das carteiras móveis.
Um invasor pode enviar uma mensagem falsa para uma carteira móvel, se passar por um aplicativo descentralizado legítimo (DApp) e exibir conteúdo enganoso na janela modal da carteira para enganar os usuários a aprovar a transação. Esta técnica de pesca é hoje amplamente utilizada. Os desenvolvedores de componentes relevantes confirmaram que uma nova API de validação será lançada para reduzir o risco.
Os ataques de phishing modal são realizados principalmente contra as janelas modais das carteiras de criptomoedas. Uma janela modal é um elemento de interface do usuário comumente usado em aplicativos móveis, normalmente exibido na parte superior da janela principal, para ações rápidas, como aprovar ou rejeitar uma solicitação de negociação.
Um design modal típico de carteira Web3 fornecerá informações de transação e um botão de aprovação/rejeição. No entanto, esses elementos da interface do usuário podem ser controlados por invasores para ataques de phishing.
O Wallet Connect é um protocolo de código aberto popular para conectar carteiras de usuários a DApps. Durante o processo de emparelhamento, a carteira exibe as informações meta fornecidas pelo DApp, incluindo o nome, URL e ícone. No entanto, essas informações não são verificadas e os atacantes podem forjar as informações de DApps legítimos.
Por exemplo, um invasor pode se passar por um DApp conhecido para induzir os usuários a se conectarem a uma carteira e aprovarem transações. Durante o processo de emparelhamento, a janela modal exibida pela carteira apresentará as informações DApp aparentemente legítimas, o que aumenta a credibilidade do ataque.
2. Phishing através de informações de contratos inteligentes
Alguns aplicativos de carteira exibem o nome do método do contrato inteligente no modo de aprovação de transação. Os atacantes podem enganar os utilizadores registando um nome de método específico, como "SecurityUpdate".
Por exemplo, um atacante pode criar um contrato inteligente de phishing que contém uma função chamada "SecurityUpdate". Quando o usuário visualiza a solicitação de transação, verá um pedido de "atualização de segurança" que parece vir da carteira oficial, aumentando assim a probabilidade de o usuário aprovar a transação maliciosa.
Os desenvolvedores de carteiras devem sempre verificar a legitimidade dos dados externos recebidos e não devem confiar cegamente em nenhuma informação não verificada.
Os desenvolvedores devem escolher cuidadosamente as informações a serem exibidas aos usuários e filtrar o conteúdo que possa ser utilizado em ataques de phishing.
Os usuários devem estar atentos a cada solicitação de transação desconhecida, verificar cuidadosamente os detalhes da transação e não aprovar facilmente solicitações de fontes desconhecidas.
Os protocolos e plataformas pertinentes devem ponderar a introdução de mecanismos de verificação mais rigorosos para garantir que as informações apresentadas aos utilizadores são autênticas e fiáveis.
! [Desmistificando o novo golpe da carteira móvel Web3.0: ataque de phishing modal] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
À medida que a tecnologia Web3 continua a evoluir, uma maior consciência de segurança é essencial para usuários e desenvolvedores. Só permanecendo vigilante e melhorando constantemente as suas medidas de segurança é que poderá prevenir eficazmente estes novos tipos de ataques de phishing.
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
7 Curtidas
Recompensa
7
5
Compartilhar
Comentário
0/400
0xInsomnia
· 7h atrás
Cuidado para não ser preguiçoso.
Responder0
GasOptimizer
· 7h atrás
Vou reforçar a Carteira novamente.
Responder0
BrokenDAO
· 7h atrás
Esse dano não é pequeno.
Responder0
ImpermanentLossEnjoyer
· 7h atrás
Cair na armadilha é uma alegria momentânea
Responder0
GasSavingMaster
· 7h atrás
Carteira novamente apresentou uma nova vulnerabilidade.
Phishing modal: uma nova ameaça à segurança das carteiras móveis Web3
Novo golpe de esquema de carteira móvel Web3: ataque de phishing modal
Recentemente, uma nova técnica de phishing direcionada a carteiras móveis Web3 chamou a atenção de pesquisadores de segurança. Apelidada de "Modal Phishing", a técnica engana principalmente os usuários manipulando as janelas modais das carteiras móveis.
Um invasor pode enviar uma mensagem falsa para uma carteira móvel, se passar por um aplicativo descentralizado legítimo (DApp) e exibir conteúdo enganoso na janela modal da carteira para enganar os usuários a aprovar a transação. Esta técnica de pesca é hoje amplamente utilizada. Os desenvolvedores de componentes relevantes confirmaram que uma nova API de validação será lançada para reduzir o risco.
! Desmistificando o novo golpe da carteira móvel Web3.0: ataque de phishing modal
Princípios dos ataques de phishing modal
Os ataques de phishing modal são realizados principalmente contra as janelas modais das carteiras de criptomoedas. Uma janela modal é um elemento de interface do usuário comumente usado em aplicativos móveis, normalmente exibido na parte superior da janela principal, para ações rápidas, como aprovar ou rejeitar uma solicitação de negociação.
Um design modal típico de carteira Web3 fornecerá informações de transação e um botão de aprovação/rejeição. No entanto, esses elementos da interface do usuário podem ser controlados por invasores para ataques de phishing.
! Desmistificando o novo golpe da carteira móvel Web3.0: ataque de phishing modal
Casos de Ataque
1. DApp phishing via Wallet Connect
O Wallet Connect é um protocolo de código aberto popular para conectar carteiras de usuários a DApps. Durante o processo de emparelhamento, a carteira exibe as informações meta fornecidas pelo DApp, incluindo o nome, URL e ícone. No entanto, essas informações não são verificadas e os atacantes podem forjar as informações de DApps legítimos.
Por exemplo, um invasor pode se passar por um DApp conhecido para induzir os usuários a se conectarem a uma carteira e aprovarem transações. Durante o processo de emparelhamento, a janela modal exibida pela carteira apresentará as informações DApp aparentemente legítimas, o que aumenta a credibilidade do ataque.
! Desmistificando a Web3.0 Mobile Wallet New Scam: Modal Phishing Attack Modal Phishing
2. Phishing através de informações de contratos inteligentes
Alguns aplicativos de carteira exibem o nome do método do contrato inteligente no modo de aprovação de transação. Os atacantes podem enganar os utilizadores registando um nome de método específico, como "SecurityUpdate".
Por exemplo, um atacante pode criar um contrato inteligente de phishing que contém uma função chamada "SecurityUpdate". Quando o usuário visualiza a solicitação de transação, verá um pedido de "atualização de segurança" que parece vir da carteira oficial, aumentando assim a probabilidade de o usuário aprovar a transação maliciosa.
! Desmistificando o novo golpe da carteira móvel Web3.0: ataque de phishing modal
Recomendações de Prevenção
Os desenvolvedores de carteiras devem sempre verificar a legitimidade dos dados externos recebidos e não devem confiar cegamente em nenhuma informação não verificada.
Os desenvolvedores devem escolher cuidadosamente as informações a serem exibidas aos usuários e filtrar o conteúdo que possa ser utilizado em ataques de phishing.
Os usuários devem estar atentos a cada solicitação de transação desconhecida, verificar cuidadosamente os detalhes da transação e não aprovar facilmente solicitações de fontes desconhecidas.
Os protocolos e plataformas pertinentes devem ponderar a introdução de mecanismos de verificação mais rigorosos para garantir que as informações apresentadas aos utilizadores são autênticas e fiáveis.
! [Desmistificando o novo golpe da carteira móvel Web3.0: ataque de phishing modal] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Desmistificando a Web3.0 Mobile Wallet New Scam: Modal Phishing Attack: Modal Phishing
À medida que a tecnologia Web3 continua a evoluir, uma maior consciência de segurança é essencial para usuários e desenvolvedores. Só permanecendo vigilante e melhorando constantemente as suas medidas de segurança é que poderá prevenir eficazmente estes novos tipos de ataques de phishing.