# ウェブ3.0モバイルウォレット新型フィッシング技術:モーダルフィッシング攻撃最近、新しいタイプのフィッシング技術が発見され、ユーザーが分散型アプリ(DApp)に接続する際の認証を誤導する可能性があります。この新しいフィッシング技術を"モーダルフィッシング攻撃"(Modal Phishing)と名付けました。攻撃者は、モバイルウォレットに偽の情報を送信し、正当なDAppを装い、ウォレットのモーダルウィンドウに誤解を招く内容を表示させて、ユーザーに取引を承認させるよう仕向けます。この技術は広く使用されています。関連する開発者は、リスクを低減するための新しい検証APIを導入することを確認しました。## モーダルフィッシング攻撃とは?モバイルウォレットのセキュリティ研究において、私たちはウェブ3.0暗号ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者によって操作され、フィッシング攻撃に利用される可能性があることに気付きました。これをモーダルフィッシングと呼ぶ理由は、攻撃が主に暗号ウォレットのモーダルウィンドウを対象としているからです。モーダル(またはモーダルウィンドウ)は、モバイルアプリケーションで一般的に使用されるUI要素で、通常はメインウィンドウの上部に表示され、迅速な操作のために使用されます。例えば、ウェブ3.0ウォレットの取引リクエストを承認/拒否するためです。典型的なウェブ3.0ウォレットのモーダルデザインは、通常、取引の詳細と承認/拒否ボタンを提供します。しかし、これらのUI要素は攻撃者によって制御され、モーダルフィッシング攻撃に使用される可能性があります。攻撃者は取引の詳細を変更し、リクエストを信頼できるソースからの安全な更新のように装って、ユーザーに承認を促すことができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## 典型的なケース### ケース1:ウォレットコネクトを通じてDAppフィッシング攻撃ウォレットコネクトは、QRコードやディープリンクを介してユーザーウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中、ウォレットはモーダルウィンドウを表示し、DAppの名前、ウェブサイト、アイコンなどの情報を示します。しかし、これらの情報はDAppによって提供され、ウォレットはその真偽を確認しません。攻撃者は有名なDAppを偽装し、ユーザーを騙して接続させ、取引を承認させることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)異なるウォレットのモーダルデザインは異なる場合がありますが、攻撃者は常にメタ情報を制御できます。攻撃者は偽のDAppを作成し、取引承認モーダルで有名なアプリを偽装することができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)### 事例2:MetaMaskを通じたスマートコントラクト情報フィッシングMetaMaskの取引承認モーダルでは、DApp情報に加えて、取引タイプ("Confirm"または"Unknown Method"など)も表示されます。このUI要素は、スマートコントラクトの署名バイトを読み取り、チェーン上のメソッドレジストリを照会することによって取得されます。攻撃者はこのメカニズムを利用して、誤解を招くメソッド名を持つフィッシングスマートコントラクトを作成できます。例えば、メソッド名を"SecurityUpdate"として登録し、取引リクエストがMetaMaskの安全更新から来ているように見せかけます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)## 予防に関する推奨事項1. ウォレット開発者は常に外部データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を確認すべきです。2. ウォレットコネクトプロトコルは、DApp情報の有効性と合法性を事前に確認することを検討できます。3. ウォレットアプリはフィッシング攻撃に使用される可能性のある単語を監視し、フィルタリングする必要があります。4. ユーザーは、未知の取引リクエストに対して警戒を保ち、取引の詳細を慎重に確認する必要があります。モーダルフィッシング攻撃は、ウェブ3.0ウォレットのUIデザインにおける潜在的なセキュリティリスクを明らかにします。開発者とユーザーは警戒を強め、ウェブ3エコシステムの安全を共同で維持すべきです。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)
モダリティフィッシング:Web3モバイルウォレットが新しいネット詐欺の脅威に直面
ウェブ3.0モバイルウォレット新型フィッシング技術:モーダルフィッシング攻撃
最近、新しいタイプのフィッシング技術が発見され、ユーザーが分散型アプリ(DApp)に接続する際の認証を誤導する可能性があります。この新しいフィッシング技術を"モーダルフィッシング攻撃"(Modal Phishing)と名付けました。
攻撃者は、モバイルウォレットに偽の情報を送信し、正当なDAppを装い、ウォレットのモーダルウィンドウに誤解を招く内容を表示させて、ユーザーに取引を承認させるよう仕向けます。この技術は広く使用されています。関連する開発者は、リスクを低減するための新しい検証APIを導入することを確認しました。
モーダルフィッシング攻撃とは?
モバイルウォレットのセキュリティ研究において、私たちはウェブ3.0暗号ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者によって操作され、フィッシング攻撃に利用される可能性があることに気付きました。これをモーダルフィッシングと呼ぶ理由は、攻撃が主に暗号ウォレットのモーダルウィンドウを対象としているからです。
モーダル(またはモーダルウィンドウ)は、モバイルアプリケーションで一般的に使用されるUI要素で、通常はメインウィンドウの上部に表示され、迅速な操作のために使用されます。例えば、ウェブ3.0ウォレットの取引リクエストを承認/拒否するためです。典型的なウェブ3.0ウォレットのモーダルデザインは、通常、取引の詳細と承認/拒否ボタンを提供します。
しかし、これらのUI要素は攻撃者によって制御され、モーダルフィッシング攻撃に使用される可能性があります。攻撃者は取引の詳細を変更し、リクエストを信頼できるソースからの安全な更新のように装って、ユーザーに承認を促すことができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
典型的なケース
ケース1:ウォレットコネクトを通じてDAppフィッシング攻撃
ウォレットコネクトは、QRコードやディープリンクを介してユーザーウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中、ウォレットはモーダルウィンドウを表示し、DAppの名前、ウェブサイト、アイコンなどの情報を示します。
しかし、これらの情報はDAppによって提供され、ウォレットはその真偽を確認しません。攻撃者は有名なDAppを偽装し、ユーザーを騙して接続させ、取引を承認させることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
異なるウォレットのモーダルデザインは異なる場合がありますが、攻撃者は常にメタ情報を制御できます。攻撃者は偽のDAppを作成し、取引承認モーダルで有名なアプリを偽装することができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
事例2:MetaMaskを通じたスマートコントラクト情報フィッシング
MetaMaskの取引承認モーダルでは、DApp情報に加えて、取引タイプ("Confirm"または"Unknown Method"など)も表示されます。このUI要素は、スマートコントラクトの署名バイトを読み取り、チェーン上のメソッドレジストリを照会することによって取得されます。
攻撃者はこのメカニズムを利用して、誤解を招くメソッド名を持つフィッシングスマートコントラクトを作成できます。例えば、メソッド名を"SecurityUpdate"として登録し、取引リクエストがMetaMaskの安全更新から来ているように見せかけます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
予防に関する推奨事項
ウォレット開発者は常に外部データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を確認すべきです。
ウォレットコネクトプロトコルは、DApp情報の有効性と合法性を事前に確認することを検討できます。
ウォレットアプリはフィッシング攻撃に使用される可能性のある単語を監視し、フィルタリングする必要があります。
ユーザーは、未知の取引リクエストに対して警戒を保ち、取引の詳細を慎重に確認する必要があります。
モーダルフィッシング攻撃は、ウェブ3.0ウォレットのUIデザインにおける潜在的なセキュリティリスクを明らかにします。開発者とユーザーは警戒を強め、ウェブ3エコシステムの安全を共同で維持すべきです。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング