Web3.0 Ví tiền mới kiểu tấn công lừa đảo: lừa đảo cửa sổ mô hình
Gần đây, một loại kỹ thuật lừa đảo mới nhắm vào Ví tiền di động Web3.0 đã thu hút sự chú ý của các chuyên gia an ninh. Phương pháp tấn công này được gọi là "tấn công lừa đảo theo mô hình" (Modal Phishing), chủ yếu lợi dụng các cửa sổ mô hình trong ứng dụng Ví tiền di động để đánh lừa người dùng.
Kẻ tấn công gửi thông tin giả đến Ví tiền di động, giả mạo thành ứng dụng phi tập trung hợp pháp (DApp), và hiển thị nội dung gây hiểu lầm trong cửa sổ mô-đun của Ví tiền, dụ dỗ người dùng phê duyệt giao dịch độc hại. Kỹ thuật lừa đảo này hiện đã được sử dụng rộng rãi trên nhiều nền tảng.
Nguyên lý của cuộc tấn công lừa đảo mô-đun
Cửa sổ mô-đun là một yếu tố giao diện người dùng phổ biến trong ứng dụng di động, thường được sử dụng để hiển thị các thông tin quan trọng như yêu cầu giao dịch. Trong Ví tiền Web3.0, những cửa sổ này sẽ hiển thị thông tin giao dịch, danh tính bên yêu cầu và các thông tin quan trọng khác, để người dùng xem xét và quyết định có phê duyệt hay không.
Tuy nhiên, nghiên cứu phát hiện rằng một số yếu tố UI trong các cửa sổ mô hình này có thể bị kẻ tấn công kiểm soát, từ đó thực hiện tấn công lừa đảo. Chủ yếu có hai lỗ hổng:
Khi sử dụng giao thức Wallet Connect, kẻ tấn công có thể kiểm soát thông tin hiển thị của DApp, như tên, biểu tượng, v.v.
Trong một số ứng dụng Ví tiền, kẻ tấn công có thể thao túng việc hiển thị thông tin hợp đồng thông minh.
Các trường hợp tấn công điển hình
Trường hợp 1: Lừa đảo DApp thông qua Wallet Connect
Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví của người dùng với DApp. Trong quá trình ghép nối, ví sẽ hiển thị thông tin siêu dữ liệu do DApp cung cấp, bao gồm tên, địa chỉ trang web, biểu tượng, v.v. Tuy nhiên, những thông tin này không được xác minh.
Kẻ tấn công có thể giả mạo thông tin này, mạo danh DApp nổi tiếng (chẳng hạn như Uniswap) để dụ người dùng kết nối. Một khi kết nối được thiết lập, kẻ tấn công có thể gửi yêu cầu giao dịch độc hại, đánh cắp tiền của người dùng.
Trường hợp 2: Thông tin lừa đảo hợp đồng thông minh MetaMask
Các ví như MetaMask sẽ hiển thị tên phương thức hợp đồng thông minh trên giao diện phê duyệt giao dịch. Kẻ tấn công có thể đăng ký phương thức hợp đồng thông minh với tên gọi gây nhầm lẫn (như "SecurityUpdate"), khiến yêu cầu giao dịch trông giống như đến từ bản cập nhật bảo mật chính thức của ví.
Kết hợp thông tin DApp giả mạo, kẻ tấn công có thể tạo ra các yêu cầu giao dịch rất lừa đảo, dụ dỗ người dùng chấp thuận các thao tác độc hại.
Đề xuất phòng ngừa
Các nhà phát triển Ví tiền nên luôn coi dữ liệu được truyền vào từ bên ngoài là không đáng tin cậy và xác thực tất cả thông tin được hiển thị cho người dùng.
Các giao thức như Wallet Connect nên xem xét việc tăng cường cơ chế xác thực thông tin DApp.
Ứng dụng Ví tiền nên theo dõi và lọc các từ nhạy cảm có thể được sử dụng cho việc lừa đảo.
Người dùng nên giữ cảnh giác khi chấp thuận bất kỳ yêu cầu giao dịch không xác định nào, và xác minh kỹ thông tin giao dịch.
Các nhà cung cấp Ví tiền nên tăng cường thiết kế an ninh cho các yếu tố UI quan trọng như cửa sổ modal.
Tóm lại, với sự phát triển của hệ sinh thái Web3.0, người dùng và nhà phát triển đều cần nâng cao nhận thức về an ninh, cùng nhau đối phó với những mối đe dọa mạng ngày càng biến đổi. Đối với mỗi yêu cầu giao dịch, việc duy trì thái độ nghi ngờ vừa phải và thận trọng là vô cùng quan trọng.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Ví tiền Web3.0遭遇模态钓鱼攻击 警惕伪装DApp诱骗
Web3.0 Ví tiền mới kiểu tấn công lừa đảo: lừa đảo cửa sổ mô hình
Gần đây, một loại kỹ thuật lừa đảo mới nhắm vào Ví tiền di động Web3.0 đã thu hút sự chú ý của các chuyên gia an ninh. Phương pháp tấn công này được gọi là "tấn công lừa đảo theo mô hình" (Modal Phishing), chủ yếu lợi dụng các cửa sổ mô hình trong ứng dụng Ví tiền di động để đánh lừa người dùng.
Kẻ tấn công gửi thông tin giả đến Ví tiền di động, giả mạo thành ứng dụng phi tập trung hợp pháp (DApp), và hiển thị nội dung gây hiểu lầm trong cửa sổ mô-đun của Ví tiền, dụ dỗ người dùng phê duyệt giao dịch độc hại. Kỹ thuật lừa đảo này hiện đã được sử dụng rộng rãi trên nhiều nền tảng.
Nguyên lý của cuộc tấn công lừa đảo mô-đun
Cửa sổ mô-đun là một yếu tố giao diện người dùng phổ biến trong ứng dụng di động, thường được sử dụng để hiển thị các thông tin quan trọng như yêu cầu giao dịch. Trong Ví tiền Web3.0, những cửa sổ này sẽ hiển thị thông tin giao dịch, danh tính bên yêu cầu và các thông tin quan trọng khác, để người dùng xem xét và quyết định có phê duyệt hay không.
Tuy nhiên, nghiên cứu phát hiện rằng một số yếu tố UI trong các cửa sổ mô hình này có thể bị kẻ tấn công kiểm soát, từ đó thực hiện tấn công lừa đảo. Chủ yếu có hai lỗ hổng:
Các trường hợp tấn công điển hình
Trường hợp 1: Lừa đảo DApp thông qua Wallet Connect
Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví của người dùng với DApp. Trong quá trình ghép nối, ví sẽ hiển thị thông tin siêu dữ liệu do DApp cung cấp, bao gồm tên, địa chỉ trang web, biểu tượng, v.v. Tuy nhiên, những thông tin này không được xác minh.
Kẻ tấn công có thể giả mạo thông tin này, mạo danh DApp nổi tiếng (chẳng hạn như Uniswap) để dụ người dùng kết nối. Một khi kết nối được thiết lập, kẻ tấn công có thể gửi yêu cầu giao dịch độc hại, đánh cắp tiền của người dùng.
Trường hợp 2: Thông tin lừa đảo hợp đồng thông minh MetaMask
Các ví như MetaMask sẽ hiển thị tên phương thức hợp đồng thông minh trên giao diện phê duyệt giao dịch. Kẻ tấn công có thể đăng ký phương thức hợp đồng thông minh với tên gọi gây nhầm lẫn (như "SecurityUpdate"), khiến yêu cầu giao dịch trông giống như đến từ bản cập nhật bảo mật chính thức của ví.
Kết hợp thông tin DApp giả mạo, kẻ tấn công có thể tạo ra các yêu cầu giao dịch rất lừa đảo, dụ dỗ người dùng chấp thuận các thao tác độc hại.
Đề xuất phòng ngừa
Các nhà phát triển Ví tiền nên luôn coi dữ liệu được truyền vào từ bên ngoài là không đáng tin cậy và xác thực tất cả thông tin được hiển thị cho người dùng.
Các giao thức như Wallet Connect nên xem xét việc tăng cường cơ chế xác thực thông tin DApp.
Ứng dụng Ví tiền nên theo dõi và lọc các từ nhạy cảm có thể được sử dụng cho việc lừa đảo.
Người dùng nên giữ cảnh giác khi chấp thuận bất kỳ yêu cầu giao dịch không xác định nào, và xác minh kỹ thông tin giao dịch.
Các nhà cung cấp Ví tiền nên tăng cường thiết kế an ninh cho các yếu tố UI quan trọng như cửa sổ modal.
Tóm lại, với sự phát triển của hệ sinh thái Web3.0, người dùng và nhà phát triển đều cần nâng cao nhận thức về an ninh, cùng nhau đối phó với những mối đe dọa mạng ngày càng biến đổi. Đối với mỗi yêu cầu giao dịch, việc duy trì thái độ nghi ngờ vừa phải và thận trọng là vô cùng quan trọng.