Web3.0 المحفظة المتنقلة تقنية جديدة للتصيد: هجمات التصيد النمطية
مؤخراً، تم اكتشاف تقنية جديدة للتصيد، قد تضلل المستخدمين أثناء عملية المصادقة عند الاتصال بتطبيقات لامركزية (DApp). أطلقنا على هذه التقنية الجديدة للتصيد اسم "هجوم تصيد الوضع" (Modal Phishing).
المهاجمون يرسلون معلومات مزورة إلى المحفظة المحمولة، متنكرين في شكل DApp شرعي، ويعرضون محتوى مضلل في نافذة الوضع الخاص بالمحفظة، مما يحث المستخدمين على الموافقة على الصفقة. تُستخدم هذه التقنية على نطاق واسع. وقد أكد المطورون المعنيون أنهم سيطلقون واجهة برمجة تطبيقات تحقق جديدة لتقليل المخاطر.
ما هو هجوم التصيد النموذجي؟
في دراسة أمان المحفظة المحمولة، لاحظنا أن بعض عناصر واجهة المستخدم (UI) لمحفظة التشفير Web3.0 يمكن أن يتم التلاعب بها من قبل المهاجمين لتنفيذ التصيد. سُمي هذا النوع من التصيد بالتصيد النمطي، لأن الهجوم يستهدف بشكل رئيسي النوافذ النمطية للمحفظة المشفرة.
تعتبر النماذج ( أو نافذة النموذج ) عنصر واجهة مستخدم شائع الاستخدام في التطبيقات المحمولة، وعادةً ما تظهر في الجزء العلوي من النافذة الرئيسية، وتستخدم لعمليات سريعة، مثل الموافقة/الرفض على طلبات المعاملات من المحفظة Web3.0. عادةً ما يوفر تصميم نموذج المحفظة Web3.0 تفاصيل المعاملة وأزرار الموافقة/الرفض.
ومع ذلك، قد يتمكن المهاجمون من التحكم في هذه العناصر الرسومية لتنفيذ هجمات التصيد الاحتيالي. يمكن للمهاجمين تغيير تفاصيل المعاملات وتزييف الطلبات كأنها تحديثات أمان من مصدر موثوق، مما يخدع المستخدمين للموافقة عليها.
الحالات النمطية
الحالة 1: هجوم تصيد على DApp عبر المحفظة Connect
المحفظة Connect هو بروتوكول مفتوح المصدر شائع، يُستخدم لربط محفظة المستخدمين مع DApp من خلال رمز الاستجابة السريعة أو الروابط العميقة. خلال عملية الاقتران، ستظهر المحفظة نافذة منبثقة تعرض اسم DApp، ورابطه، ورمزه، وغيرها من المعلومات.
ومع ذلك، فإن هذه المعلومات مقدمة من DApp، والمحفظة لا تتحقق من صحتها. يمكن للمهاجمين انتحال شخصية DApp معروف، لخداع المستخدمين للاتصال والموافقة على الصفقة.
قد تختلف تصميمات النماذج لمحافظ مختلفة، لكن المهاجمين يمكنهم دائمًا التحكم في المعلومات الوصفية. يمكن للمهاجمين إنشاء تطبيقات DApp مزيفة، وانتحال تطبيقات معروفة في نماذج الموافقة على المعاملات.
الحالة 2: التصيد بمعلومات العقد الذكي عبر MetaMask
في نافذة الموافقة على المعاملات في MetaMask، بالإضافة إلى معلومات DApp، سيتم عرض نوع المعاملة، مثل "Confirm" أو "Unknown Method". يتم الحصول على هذا العنصر من واجهة المستخدم من خلال قراءة بايت التوقيع لعقد ذكي واستعلام عن سجل الطرق على السلسلة.
يمكن للمهاجمين استغلال هذه الآلية لإنشاء عقود ذكية تصيدية تحمل أسماء طرق مضللة. على سبيل المثال، تسجيل اسم الطريقة ك"SecurityUpdate"، مما يجعل طلبات المعاملات تبدو وكأنها تأتي من تحديث أمان MetaMask.
نصائح للوقاية
يجب على مطوري المحفظة أن يفترضوا دائمًا أن البيانات الخارجية غير موثوقة، ويجب عليهم اختيار المعلومات التي تظهر للمستخدمين بعناية والتحقق من مشروعيتها.
يمكن اعتبار بروتوكول Wallet Connect التحقق مسبقًا من صحة وشرعية معلومات DApp.
يجب على تطبيقات المحفظة مراقبة وتصنيف الكلمات التي قد تُستخدم في التصيد.
يجب على المستخدم أن يظل متيقظًا لكل طلب معاملة غير معروف، والتحقق بعناية من تفاصيل المعاملة.
تظهر هجمات التصيد الاحتيالي على نمط أن تصميم واجهة مستخدم المحفظة في Web3.0 يحتوي على ثغرات أمنية محتملة. يجب على المطورين والمستخدمين توخي الحذر معًا للحفاظ على أمان نظام Web3.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 20
أعجبني
20
8
مشاركة
تعليق
0/400
RugResistant
· 07-20 16:46
الكراث الصغير يدفع الرسوم الدراسية
شاهد النسخة الأصليةرد0
zkProofInThePudding
· 07-20 08:58
المحتالون لديهم أساليب متنوعة للغاية..
شاهد النسخة الأصليةرد0
TokenBeginner'sGuide
· 07-18 15:03
تذكير لطيف: تظهر البيانات أن 95% من المحفظة المسروقة تأتي من تفويض التوقيع غير المصدق، لذا يجب على الجميع التأكد من محتوى المعاملة كلمة بكلمة!
شاهد النسخة الأصليةرد0
governance_ghost
· 07-18 15:02
هناك خدعة جديدة مرة أخرى ، العشب ، احرص على تمرير توقيعك ، أيها الأصدقاء
شاهد النسخة الأصليةرد0
GasWhisperer
· 07-18 15:02
يوم آخر، استغلال آخر... يبدو أن mempool مثير جداً مع هذه موجات الصيد الآن بصراحة
شاهد النسخة الأصليةرد0
ForkMonger
· 07-18 15:01
هههه، ثغرة أخرى تكشف عن مسرح الأمن الهواة في الويب 3... متوقع من المحافظ المحمولة بصراحة
شاهد النسخة الأصليةرد0
DeFiDoctor
· 07-18 14:54
فحص الأعراض، يظهر علامات واضحة على ثغرة في توقيع بروتوكول
صيد الاحتيال النمطي: تواجه المحفظة المحمولة Web3 تهديدات جديدة من الاحتيال عبر الإنترنت
Web3.0 المحفظة المتنقلة تقنية جديدة للتصيد: هجمات التصيد النمطية
مؤخراً، تم اكتشاف تقنية جديدة للتصيد، قد تضلل المستخدمين أثناء عملية المصادقة عند الاتصال بتطبيقات لامركزية (DApp). أطلقنا على هذه التقنية الجديدة للتصيد اسم "هجوم تصيد الوضع" (Modal Phishing).
المهاجمون يرسلون معلومات مزورة إلى المحفظة المحمولة، متنكرين في شكل DApp شرعي، ويعرضون محتوى مضلل في نافذة الوضع الخاص بالمحفظة، مما يحث المستخدمين على الموافقة على الصفقة. تُستخدم هذه التقنية على نطاق واسع. وقد أكد المطورون المعنيون أنهم سيطلقون واجهة برمجة تطبيقات تحقق جديدة لتقليل المخاطر.
ما هو هجوم التصيد النموذجي؟
في دراسة أمان المحفظة المحمولة، لاحظنا أن بعض عناصر واجهة المستخدم (UI) لمحفظة التشفير Web3.0 يمكن أن يتم التلاعب بها من قبل المهاجمين لتنفيذ التصيد. سُمي هذا النوع من التصيد بالتصيد النمطي، لأن الهجوم يستهدف بشكل رئيسي النوافذ النمطية للمحفظة المشفرة.
تعتبر النماذج ( أو نافذة النموذج ) عنصر واجهة مستخدم شائع الاستخدام في التطبيقات المحمولة، وعادةً ما تظهر في الجزء العلوي من النافذة الرئيسية، وتستخدم لعمليات سريعة، مثل الموافقة/الرفض على طلبات المعاملات من المحفظة Web3.0. عادةً ما يوفر تصميم نموذج المحفظة Web3.0 تفاصيل المعاملة وأزرار الموافقة/الرفض.
ومع ذلك، قد يتمكن المهاجمون من التحكم في هذه العناصر الرسومية لتنفيذ هجمات التصيد الاحتيالي. يمكن للمهاجمين تغيير تفاصيل المعاملات وتزييف الطلبات كأنها تحديثات أمان من مصدر موثوق، مما يخدع المستخدمين للموافقة عليها.
الحالات النمطية
الحالة 1: هجوم تصيد على DApp عبر المحفظة Connect
المحفظة Connect هو بروتوكول مفتوح المصدر شائع، يُستخدم لربط محفظة المستخدمين مع DApp من خلال رمز الاستجابة السريعة أو الروابط العميقة. خلال عملية الاقتران، ستظهر المحفظة نافذة منبثقة تعرض اسم DApp، ورابطه، ورمزه، وغيرها من المعلومات.
ومع ذلك، فإن هذه المعلومات مقدمة من DApp، والمحفظة لا تتحقق من صحتها. يمكن للمهاجمين انتحال شخصية DApp معروف، لخداع المستخدمين للاتصال والموافقة على الصفقة.
قد تختلف تصميمات النماذج لمحافظ مختلفة، لكن المهاجمين يمكنهم دائمًا التحكم في المعلومات الوصفية. يمكن للمهاجمين إنشاء تطبيقات DApp مزيفة، وانتحال تطبيقات معروفة في نماذج الموافقة على المعاملات.
الحالة 2: التصيد بمعلومات العقد الذكي عبر MetaMask
في نافذة الموافقة على المعاملات في MetaMask، بالإضافة إلى معلومات DApp، سيتم عرض نوع المعاملة، مثل "Confirm" أو "Unknown Method". يتم الحصول على هذا العنصر من واجهة المستخدم من خلال قراءة بايت التوقيع لعقد ذكي واستعلام عن سجل الطرق على السلسلة.
يمكن للمهاجمين استغلال هذه الآلية لإنشاء عقود ذكية تصيدية تحمل أسماء طرق مضللة. على سبيل المثال، تسجيل اسم الطريقة ك"SecurityUpdate"، مما يجعل طلبات المعاملات تبدو وكأنها تأتي من تحديث أمان MetaMask.
نصائح للوقاية
يجب على مطوري المحفظة أن يفترضوا دائمًا أن البيانات الخارجية غير موثوقة، ويجب عليهم اختيار المعلومات التي تظهر للمستخدمين بعناية والتحقق من مشروعيتها.
يمكن اعتبار بروتوكول Wallet Connect التحقق مسبقًا من صحة وشرعية معلومات DApp.
يجب على تطبيقات المحفظة مراقبة وتصنيف الكلمات التي قد تُستخدم في التصيد.
يجب على المستخدم أن يظل متيقظًا لكل طلب معاملة غير معروف، والتحقق بعناية من تفاصيل المعاملة.
تظهر هجمات التصيد الاحتيالي على نمط أن تصميم واجهة مستخدم المحفظة في Web3.0 يحتوي على ثغرات أمنية محتملة. يجب على المطورين والمستخدمين توخي الحذر معًا للحفاظ على أمان نظام Web3.