Веб 3.0 мобільний гаманець нові типи безпекових ризиків: модальне фішинг-атака
Нещодавно дослідники безпеки виявили новий тип фішингової технології, спрямованої на мобільні гаманці Веб 3.0, що отримала назву "модальна фішинг-атака" (Modal Phishing). Цей метод атаки використовує уразливість дизайну модальних вікон мобільних гаманців, показуючи оманливу інформацію, щоб спонукати користувачів схвалити шкідливі транзакції.
Принципи модального фішингу
Модальні фішинг-атаки в основному націлені на модальні вікна, які зазвичай використовуються в додатках для криптовалютних Гаманців. Ці модальні вікна зазвичай використовуються для відображення інформації про запити на транзакції та отримання схвалення користувача. Зловмисники можуть маніпулювати певними елементами інтерфейсу цих вікон, змушуючи їх відображати хибну або оманливу інформацію.
Конкретніше, зловмисник може контролювати наступні елементи інтерфейсу:
Інформація про DApp: включаючи назву, іконку, веб-адресу тощо
Інформація про смарт-контракт: такі як назва функції тощо
Типові випадки атак
1. Використання протоколу Wallet Connect для фішингу DApp
Wallet Connect є широко використовуваним протоколом для підключення гаманців користувачів до DApp. Дослідники виявили, що під час процесу сполучення програма гаманця безпосередньо відображає метадані, надані DApp, без їх верифікації. Зловмисники можуть скористатися цим, підробляючи інформацію відомого DApp, щоб обдурити користувачів.
Наприклад, зловмисник може створити підроблений DApp Uniswap і підключити його до гаманця Metamask користувача через Wallet Connect. У процесі парування гаманець буде показувати, здавалося б, законну інформацію про Uniswap, включаючи назву, веб-сайт та значок. Щойно користувач затвердить підключення, зловмисник зможе надіслати шкідливий запит на транзакцію.
2. Фішинг інформації про смарт-контракти через Metamask
Гаманець Metamask та інші на етапі схвалення транзакції відображають назви функцій смарт-контрактів. Зловмисники можуть реєструвати смарт-контрактні функції з оманливими назвами, такими як "SecurityUpdate", і використовувати ці функції в запитах на транзакцію. Коли користувач бачить, здавалося б, офіційний запит на оновлення, він може помилково вважати це легітимною операцією і схвалити транзакцію.
Рекомендації щодо запобігання
Для розробників гаманеців:
Завжди розглядайте зовнішні дані як ненадійні
Уважно обирайте інформацію, яку ви надаєте користувачам, та перевіряйте її законність
Розгляньте можливість впровадження додаткових механізмів верифікації, таких як перевірка інформації про DApp.
Для користувачів:
Будьте насторожі щодо кожного невідомого запиту на транзакцію
Уважно перевірте деталі交易, не приймайте рішення лише на основі інформації, що відображається в інтерфейсі.
Якщо у вас є запитання, будь ласка, перевірте інформацію через офіційні канали.
У загальному, модальні фішингові атаки виявляють потенційні вразливості гаманців Веб 3.0 у дизайні інтерфейсу користувача та верифікації інформації. З розвитком таких методів атак розробники гаманців та користувачі повинні підвищити обізнаність про безпеку та спільно підтримувати безпеку екосистеми Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
4
Поділіться
Прокоментувати
0/400
SchrodingerAirdrop
· 12год тому
Погано, шорт позиції не наважуються відкривати.
Переглянути оригіналвідповісти на0
ValidatorVibes
· 12год тому
інший день, інша експлуатація... коли ж розробники навчаться правильної модальної валідації smh
Переглянути оригіналвідповісти на0
NFTHoarder
· 12год тому
Не думай, що ти пастка, цей поганий хлопець навіть хоче обманути мої nft
Нові загрози Web3 мобільному гаманцю: детальний розгляд модальних фішингових атак і їх запобігання
Веб 3.0 мобільний гаманець нові типи безпекових ризиків: модальне фішинг-атака
Нещодавно дослідники безпеки виявили новий тип фішингової технології, спрямованої на мобільні гаманці Веб 3.0, що отримала назву "модальна фішинг-атака" (Modal Phishing). Цей метод атаки використовує уразливість дизайну модальних вікон мобільних гаманців, показуючи оманливу інформацію, щоб спонукати користувачів схвалити шкідливі транзакції.
Принципи модального фішингу
Модальні фішинг-атаки в основному націлені на модальні вікна, які зазвичай використовуються в додатках для криптовалютних Гаманців. Ці модальні вікна зазвичай використовуються для відображення інформації про запити на транзакції та отримання схвалення користувача. Зловмисники можуть маніпулювати певними елементами інтерфейсу цих вікон, змушуючи їх відображати хибну або оманливу інформацію.
Конкретніше, зловмисник може контролювати наступні елементи інтерфейсу:
Типові випадки атак
1. Використання протоколу Wallet Connect для фішингу DApp
Wallet Connect є широко використовуваним протоколом для підключення гаманців користувачів до DApp. Дослідники виявили, що під час процесу сполучення програма гаманця безпосередньо відображає метадані, надані DApp, без їх верифікації. Зловмисники можуть скористатися цим, підробляючи інформацію відомого DApp, щоб обдурити користувачів.
Наприклад, зловмисник може створити підроблений DApp Uniswap і підключити його до гаманця Metamask користувача через Wallet Connect. У процесі парування гаманець буде показувати, здавалося б, законну інформацію про Uniswap, включаючи назву, веб-сайт та значок. Щойно користувач затвердить підключення, зловмисник зможе надіслати шкідливий запит на транзакцію.
2. Фішинг інформації про смарт-контракти через Metamask
Гаманець Metamask та інші на етапі схвалення транзакції відображають назви функцій смарт-контрактів. Зловмисники можуть реєструвати смарт-контрактні функції з оманливими назвами, такими як "SecurityUpdate", і використовувати ці функції в запитах на транзакцію. Коли користувач бачить, здавалося б, офіційний запит на оновлення, він може помилково вважати це легітимною операцією і схвалити транзакцію.
Рекомендації щодо запобігання
Для розробників гаманеців:
Для користувачів:
У загальному, модальні фішингові атаки виявляють потенційні вразливості гаманців Веб 3.0 у дизайні інтерфейсу користувача та верифікації інформації. З розвитком таких методів атак розробники гаманців та користувачі повинні підвищити обізнаність про безпеку та спільно підтримувати безпеку екосистеми Web3.