Веб 3.0 мобильный Кошелек новый тип фишинга: обман модальных окон
Недавно новая техника фишинга, нацеленная на мобильные кошельки Веб 3.0, привлекла внимание экспертов по безопасности. Этот метод атаки называется "модальная атака фишинга" (Modal Phishing) и в основном использует модальные окна в мобильных приложениях кошельков для введения пользователей в заблуждение.
Злоумышленники отправляют ложную информацию в мобильный Кошелек, выдавая себя за легитимное децентрализованное приложение (DApp) и показывая вводящее в заблуждение содержание в модальном окне Кошелька, чтобы заставить пользователей одобрить вредоносные транзакции. Эта техника фишинга в настоящее время широко используется на нескольких платформах.
Принцип атаки модального фишинга
Модальные окна являются распространёнными элементами пользовательского интерфейса в мобильных приложениях и обычно используются для отображения важных данных, таких как запросы на сделку. В Веб 3.0 Кошелек эти окна показывают детали транзакции, личность запрашивающей стороны и другую ключевую информацию, чтобы пользователи могли проверить её и решить, одобрять ли.
Однако исследования показали, что некоторые элементы интерфейса в этих модальных окнах могут контролироваться злоумышленниками, что позволяет им проводить фишинг-атаки. Существует два основных уязвимости:
При использовании протокола Wallet Connect, злоумышленник может контролировать отображение информации DApp, такой как название, иконка и т.д.
В некоторых приложениях Кошелек злоумышленники могут манипулировать отображением информации о смарт-контрактах.
Типичные случаи атак
Пример 1: Фишинг DApp через Кошелек Connect
Wallet Connect является популярным открытым протоколом для подключения пользовательского Кошелек к DApp. В процессе подключения Кошелек отображает метаданные, предоставленные DApp, включая название, веб-сайт, иконку и т. д. Однако эта информация не была проверена.
Атакующие могут подделать эту информацию, выдавая себя за известные DApp (например, Uniswap), чтобы заставить пользователей подключиться. Как только соединение установлено, атакующие могут отправлять вредоносные запросы на транзакции и похищать средства пользователей.
Пример 2: Фишинг информации о смарт-контракте MetaMask
В интерфейсе одобрения транзакций такие кошельки, как MetaMask, отображают имя метода смарт-контракта. Злоумышленники могут зарегистрировать методы смарт-контракта с вводящими в заблуждение названиями (например, "SecurityUpdate"), чтобы запросы на транзакции выглядели как официальные обновления безопасности от кошелька.
С учетом поддельной информации о DApp, злоумышленник может создать очень обманчивый запрос на транзакцию, заставив пользователя одобрить злонамеренные действия.
Рекомендации по предотвращению
Разработчики кошельков должны всегда рассматривать входящие внешние данные как ненадежные и проверять всю информацию, представленную пользователю.
Протоколы, такие как Wallet Connect, должны рассмотреть возможность добавления механизма проверки информации о DApp.
Кошелек должен контролировать и фильтровать потенциально используемые для фишинга чувствительные слова.
Пользователи должны быть осторожны при одобрении любых неизвестных запросов на транзакции и тщательно проверять информацию о транзакциях.
Провайдеры кошельков должны усилить безопасность проектирования ключевых элементов пользовательского интерфейса, таких как модальные окна.
В общем, с развитием экосистемы Веб 3.0 пользователи и разработчики должны повышать осведомленность о безопасности и совместно противостоять постоянно эволюционирующим сетевым угрозам. К каждой просьбе о транзакции крайне важно сохранять умеренную долю недоверия и осторожности.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Лайков
Награда
9
3
Поделиться
комментарий
0/400
LiquidationAlert
· 16ч назад
Ловушки появляются одна за другой.
Посмотреть ОригиналОтветить0
ServantOfSatoshi
· 16ч назад
Будьте осторожны с поддельными фишингом и кражей токенов
Посмотреть ОригиналОтветить0
LiquidationWatcher
· 17ч назад
Еще один новый вид мошенничества нацелился на Кошелек
Веб 3.0 Кошелек遭遇模态钓鱼攻击 警惕伪装DApp诱骗
Веб 3.0 мобильный Кошелек новый тип фишинга: обман модальных окон
Недавно новая техника фишинга, нацеленная на мобильные кошельки Веб 3.0, привлекла внимание экспертов по безопасности. Этот метод атаки называется "модальная атака фишинга" (Modal Phishing) и в основном использует модальные окна в мобильных приложениях кошельков для введения пользователей в заблуждение.
Злоумышленники отправляют ложную информацию в мобильный Кошелек, выдавая себя за легитимное децентрализованное приложение (DApp) и показывая вводящее в заблуждение содержание в модальном окне Кошелька, чтобы заставить пользователей одобрить вредоносные транзакции. Эта техника фишинга в настоящее время широко используется на нескольких платформах.
Принцип атаки модального фишинга
Модальные окна являются распространёнными элементами пользовательского интерфейса в мобильных приложениях и обычно используются для отображения важных данных, таких как запросы на сделку. В Веб 3.0 Кошелек эти окна показывают детали транзакции, личность запрашивающей стороны и другую ключевую информацию, чтобы пользователи могли проверить её и решить, одобрять ли.
Однако исследования показали, что некоторые элементы интерфейса в этих модальных окнах могут контролироваться злоумышленниками, что позволяет им проводить фишинг-атаки. Существует два основных уязвимости:
Типичные случаи атак
Пример 1: Фишинг DApp через Кошелек Connect
Wallet Connect является популярным открытым протоколом для подключения пользовательского Кошелек к DApp. В процессе подключения Кошелек отображает метаданные, предоставленные DApp, включая название, веб-сайт, иконку и т. д. Однако эта информация не была проверена.
Атакующие могут подделать эту информацию, выдавая себя за известные DApp (например, Uniswap), чтобы заставить пользователей подключиться. Как только соединение установлено, атакующие могут отправлять вредоносные запросы на транзакции и похищать средства пользователей.
Пример 2: Фишинг информации о смарт-контракте MetaMask
В интерфейсе одобрения транзакций такие кошельки, как MetaMask, отображают имя метода смарт-контракта. Злоумышленники могут зарегистрировать методы смарт-контракта с вводящими в заблуждение названиями (например, "SecurityUpdate"), чтобы запросы на транзакции выглядели как официальные обновления безопасности от кошелька.
С учетом поддельной информации о DApp, злоумышленник может создать очень обманчивый запрос на транзакцию, заставив пользователя одобрить злонамеренные действия.
Рекомендации по предотвращению
Разработчики кошельков должны всегда рассматривать входящие внешние данные как ненадежные и проверять всю информацию, представленную пользователю.
Протоколы, такие как Wallet Connect, должны рассмотреть возможность добавления механизма проверки информации о DApp.
Кошелек должен контролировать и фильтровать потенциально используемые для фишинга чувствительные слова.
Пользователи должны быть осторожны при одобрении любых неизвестных запросов на транзакции и тщательно проверять информацию о транзакциях.
Провайдеры кошельков должны усилить безопасность проектирования ключевых элементов пользовательского интерфейса, таких как модальные окна.
В общем, с развитием экосистемы Веб 3.0 пользователи и разработчики должны повышать осведомленность о безопасности и совместно противостоять постоянно эволюционирующим сетевым угрозам. К каждой просьбе о транзакции крайне важно сохранять умеренную долю недоверия и осторожности.