Новый тип промывания глаз для мобильного Кошелька Web3: модальные фишинговые атаки
В последнее время внимание исследователей в области безопасности привлекла новая техника фишинга, нацеленная на мобильные кошельки Web3. Эта техника, получившая название «модальный фишинг», в основном вводит пользователей в заблуждение, манипулируя модальными окнами мобильных кошельков.
Злоумышленник может отправить поддельное сообщение на мобильный кошелек, выдать себя за законное децентрализованное приложение (DApp) и отобразить вводящий в заблуждение контент в модальном окне кошелька, чтобы обмануть пользователей и заставить их одобрить транзакцию. Эта техника лова рыбы в настоящее время широко используется. Разработчики соответствующих компонентов подтвердили, что для снижения рисков будет выпущен новый API валидации.
Модальные фишинговые атаки в основном проводятся против модальных окон криптокошельков. Модальное окно — это часто используемый элемент пользовательского интерфейса в мобильных приложениях, обычно отображаемый в верхней части главного окна для быстрых действий, таких как утверждение или отклонение торгового запроса.
Типичный модальный дизайн кошелька Web3 предоставляет информацию о транзакции и кнопку одобрения/отклонения. Однако эти элементы пользовательского интерфейса могут контролироваться злоумышленниками для фишинговых атак.
Wallet Connect — это популярный протокол с открытым исходным кодом для подключения кошельков пользователей к DApps. В процессе сопряжения кошелек отображает метаинформацию, предоставленную DApp, включая имя, URL-адрес и значок. Однако эта информация не проверяется, и злоумышленники могут подделать информацию о законных DApps.
Например, злоумышленник может выдать себя за известное DApp, чтобы обманом заставить пользователей подключиться к кошельку и подтвердить транзакции. В процессе сопряжения модальное окно, отображаемое кошельком, будет представлять, казалось бы, законную информацию DApp, что повышает доверие к атаке.
Некоторые приложения-кошельки отображают имя метода смарт-контракта в режиме подтверждения транзакции. Злоумышленники могут ввести пользователей в заблуждение, зарегистрировав имя определенного метода, например «SecurityUpdate».
Например, злоумышленник может создать фишинговый смарт-контракт, который содержит функцию под названием "SecurityUpdate". Когда пользователь просматривает запрос на транзакцию, он увидит запрос на "безопасное обновление", который кажется исходящим от официального Кошелек, что увеличивает вероятность того, что пользователь одобрит вредоносную транзакцию.
Разработчики кошельков всегда должны проверять легитимность внешних входящих данных и не должны слепо доверять любой непроверенной информации.
Разработчики должны тщательно выбирать информацию, которую они показывают пользователям, и фильтровать содержимое, которое может быть использовано для фишинговых атак.
Пользователи должны быть бдительны в отношении каждого неизвестного запроса на транзакцию, тщательно проверять детали транзакции и не одобрять запросы из неизвестных источников.
Соответствующие протоколы и платформы должны рассмотреть вопрос о введении более строгих механизмов проверки, чтобы гарантировать, что информация, отображаемая пользователям, является подлинной и надежной.
! [Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
Поскольку технологии Web3 продолжают развиваться, повышение осведомленности о безопасности имеет важное значение как для пользователей, так и для разработчиков. Только сохраняя бдительность и постоянно совершенствуя меры безопасности, вы можете эффективно предотвращать эти новые типы фишинговых атак.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Модальный фишинг: новая угроза безопасности для мобильных кошельков Web3
Новый тип промывания глаз для мобильного Кошелька Web3: модальные фишинговые атаки
В последнее время внимание исследователей в области безопасности привлекла новая техника фишинга, нацеленная на мобильные кошельки Web3. Эта техника, получившая название «модальный фишинг», в основном вводит пользователей в заблуждение, манипулируя модальными окнами мобильных кошельков.
Злоумышленник может отправить поддельное сообщение на мобильный кошелек, выдать себя за законное децентрализованное приложение (DApp) и отобразить вводящий в заблуждение контент в модальном окне кошелька, чтобы обмануть пользователей и заставить их одобрить транзакцию. Эта техника лова рыбы в настоящее время широко используется. Разработчики соответствующих компонентов подтвердили, что для снижения рисков будет выпущен новый API валидации.
! Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака
Принципы модальных фишинговых атак
Модальные фишинговые атаки в основном проводятся против модальных окон криптокошельков. Модальное окно — это часто используемый элемент пользовательского интерфейса в мобильных приложениях, обычно отображаемый в верхней части главного окна для быстрых действий, таких как утверждение или отклонение торгового запроса.
Типичный модальный дизайн кошелька Web3 предоставляет информацию о транзакции и кнопку одобрения/отклонения. Однако эти элементы пользовательского интерфейса могут контролироваться злоумышленниками для фишинговых атак.
! Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака
Примеры атак
1. Фишинг DApp через Wallet Connect
Wallet Connect — это популярный протокол с открытым исходным кодом для подключения кошельков пользователей к DApps. В процессе сопряжения кошелек отображает метаинформацию, предоставленную DApp, включая имя, URL-адрес и значок. Однако эта информация не проверяется, и злоумышленники могут подделать информацию о законных DApps.
Например, злоумышленник может выдать себя за известное DApp, чтобы обманом заставить пользователей подключиться к кошельку и подтвердить транзакции. В процессе сопряжения модальное окно, отображаемое кошельком, будет представлять, казалось бы, законную информацию DApp, что повышает доверие к атаке.
! Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака
! Развенчиваем мифы о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака Модальный фишинг
2. Фишинг через информацию о смарт-контракте
Некоторые приложения-кошельки отображают имя метода смарт-контракта в режиме подтверждения транзакции. Злоумышленники могут ввести пользователей в заблуждение, зарегистрировав имя определенного метода, например «SecurityUpdate».
Например, злоумышленник может создать фишинговый смарт-контракт, который содержит функцию под названием "SecurityUpdate". Когда пользователь просматривает запрос на транзакцию, он увидит запрос на "безопасное обновление", который кажется исходящим от официального Кошелек, что увеличивает вероятность того, что пользователь одобрит вредоносную транзакцию.
! Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака
! Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака
Рекомендации по предотвращению
Разработчики кошельков всегда должны проверять легитимность внешних входящих данных и не должны слепо доверять любой непроверенной информации.
Разработчики должны тщательно выбирать информацию, которую они показывают пользователям, и фильтровать содержимое, которое может быть использовано для фишинговых атак.
Пользователи должны быть бдительны в отношении каждого неизвестного запроса на транзакцию, тщательно проверять детали транзакции и не одобрять запросы из неизвестных источников.
Соответствующие протоколы и платформы должны рассмотреть вопрос о введении более строгих механизмов проверки, чтобы гарантировать, что информация, отображаемая пользователям, является подлинной и надежной.
! [Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака
! Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака: модальный фишинг
Поскольку технологии Web3 продолжают развиваться, повышение осведомленности о безопасности имеет важное значение как для пользователей, так и для разработчиков. Только сохраняя бдительность и постоянно совершенствуя меры безопасности, вы можете эффективно предотвращать эти новые типы фишинговых атак.