📢 #Gate广场征文活动第三期# 正式啓動!
🎮 本期聚焦:Yooldo Games (ESPORTS)
✍️ 分享獨特見解 + 參與互動推廣,若同步參與 Gate 第 286 期 Launchpool、CandyDrop 或 Alpha 活動,即可獲得任意獎勵資格!
💡 內容創作 + 空投參與 = 雙重加分,大獎候選人就是你!
💰總獎池:4,464 枚 $ESPORTS
🏆 一等獎(1名):964 枚
🥈 二等獎(5名):每人 400 枚
🥉 三等獎(10名):每人 150 枚
🚀 參與方式:
在 Gate廣場發布不少於 300 字的原創文章
添加標籤: #Gate广场征文活动第三期#
每篇文章需 ≥3 個互動(點讚 / 評論 / 轉發)
發布參與 Launchpool / CandyDrop / Alpha 任一活動的截圖,作爲獲獎資格憑證
同步轉發至 X(推特)可增加獲獎概率,標籤:#GateSquare 👉 https://www.gate.com/questionnaire/6907
🎯 雙倍獎勵機會:參與第 286 期 Launchpool!
質押 BTC 或 ESPORTS,瓜分 803,571 枚 $ESPORTS,每小時發放
時間:7 月 21 日 20:00 – 7 月 25 日 20:00(UTC+8)
🧠 寫作方向建議:
Yooldo
模態釣魚:Web3移動錢包面臨新型網路詐騙威脅
Web3.0移動錢包新型網絡釣魚技術:模態釣魚攻擊
近期,一種新型網絡釣魚技術被發現,它可能會誤導用戶在連接去中心化應用(DApp)時的身分認證。我們將這種新型網絡釣魚技術命名爲"模態釣魚攻擊"(Modal Phishing)。
攻擊者通過向移動錢包發送僞造信息,冒充合法DApp,並在錢包的模態窗口中顯示誤導性內容,誘使用戶批準交易。這種技術正在廣泛使用。相關開發人員已確認將推出新的驗證API以降低風險。
什麼是模態釣魚攻擊?
在對移動錢包的安全研究中,我們注意到Web3.0加密錢包的某些用戶界面(UI)元素可被攻擊者操控來進行網絡釣魚。之所以稱爲模態釣魚,是因爲攻擊主要針對加密錢包的模態窗口。
模態(或模態窗口)是移動應用中常用的UI元素,通常顯示在主窗口頂部,用於快速操作,如批準/拒絕Web3.0錢包的交易請求。典型的Web3.0錢包模態設計通常提供交易詳情和批準/拒絕按鈕。
然而,這些UI元素可能被攻擊者控制進行模態釣魚攻擊。攻擊者可以更改交易細節,將請求僞裝成來自可信來源的安全更新,誘使用戶批準。
典型案例
案例1:通過Wallet Connect進行DApp釣魚攻擊
Wallet Connect是一個流行的開源協議,用於通過二維碼或深度連結將用戶錢包與DApp連接。在配對過程中,錢包會顯示一個模態窗口,展示DApp的名稱、網址、圖標等信息。
然而,這些信息由DApp提供,錢包並不驗證其真實性。攻擊者可以假冒知名DApp,誘騙用戶連接並批準交易。
不同錢包的模態設計可能不同,但攻擊者始終可以控制元信息。攻擊者可以創建虛假DApp,在交易批準模態中冒充知名應用。
案例2:通過MetaMask進行智能合約信息釣魚
MetaMask的交易批準模態中,除了DApp信息,還會顯示交易類型,如"Confirm"或"Unknown Method"。這個UI元素是通過讀取智能合約的籤名字節並查詢鏈上方法註冊表獲得的。
攻擊者可以利用這一機制,創建帶有誤導性方法名的釣魚智能合約。例如,將方法名註冊爲"SecurityUpdate",使交易請求看起來像是來自MetaMask的安全更新。
防範建議
錢包開發者應始終假設外部數據不可信,仔細選擇向用戶展示的信息,並驗證其合法性。
Wallet Connect協議可以考慮提前驗證DApp信息的有效性和合法性。
錢包應用應監測並過濾可能被用於釣魚攻擊的詞語。
用戶應對每個未知的交易請求保持警惕,仔細核實交易詳情。
模態釣魚攻擊揭示了Web3.0錢包UI設計中的潛在安全隱患。開發者和用戶都應提高警惕,共同維護Web3生態系統的安全。