📢 Gate廣場 #MBG任务挑战# 發帖贏大獎活動火熱開啓!
想要瓜分1,000枚MBG?現在就來參與,展示你的洞察與實操,成爲MBG推廣達人!
💰️ 本期將評選出20位優質發帖用戶,每人可輕鬆獲得50枚MBG!
如何參與:
1️⃣ 調研MBG項目
對MBG的基本面、社區治理、發展目標、代幣經濟模型等方面進行研究,分享你對項目的深度研究。
2️⃣ 參與並分享真實體驗
參與MBG相關活動(包括CandyDrop、Launchpool或現貨交易),並曬出你的參與截圖、收益圖或實用教程。可以是收益展示、簡明易懂的新手攻略、小竅門,也可以是現貨行情點位分析,內容詳實優先。
3️⃣ 鼓勵帶新互動
如果你的帖子吸引到他人參與活動,或者有好友評論“已參與/已交易”,將大幅提升你的獲獎概率!
MBG熱門活動(帖文需附下列活動連結):
Gate第287期Launchpool:MBG — 質押ETH、MBG即可免費瓜分112,500 MBG,每小時領取獎勵!參與攻略見公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通過首次交易、交易MBG、邀請好友註冊交易即可分187,500 MBG!參與攻略見公告:https://www.gate.com/announcements
模態釣魚:Web3移動錢包面臨新型網路詐騙威脅
Web3.0移動錢包新型網絡釣魚技術:模態釣魚攻擊
近期,一種新型網絡釣魚技術被發現,它可能會誤導用戶在連接去中心化應用(DApp)時的身分認證。我們將這種新型網絡釣魚技術命名爲"模態釣魚攻擊"(Modal Phishing)。
攻擊者通過向移動錢包發送僞造信息,冒充合法DApp,並在錢包的模態窗口中顯示誤導性內容,誘使用戶批準交易。這種技術正在廣泛使用。相關開發人員已確認將推出新的驗證API以降低風險。
什麼是模態釣魚攻擊?
在對移動錢包的安全研究中,我們注意到Web3.0加密錢包的某些用戶界面(UI)元素可被攻擊者操控來進行網絡釣魚。之所以稱爲模態釣魚,是因爲攻擊主要針對加密錢包的模態窗口。
模態(或模態窗口)是移動應用中常用的UI元素,通常顯示在主窗口頂部,用於快速操作,如批準/拒絕Web3.0錢包的交易請求。典型的Web3.0錢包模態設計通常提供交易詳情和批準/拒絕按鈕。
然而,這些UI元素可能被攻擊者控制進行模態釣魚攻擊。攻擊者可以更改交易細節,將請求僞裝成來自可信來源的安全更新,誘使用戶批準。
典型案例
案例1:通過Wallet Connect進行DApp釣魚攻擊
Wallet Connect是一個流行的開源協議,用於通過二維碼或深度連結將用戶錢包與DApp連接。在配對過程中,錢包會顯示一個模態窗口,展示DApp的名稱、網址、圖標等信息。
然而,這些信息由DApp提供,錢包並不驗證其真實性。攻擊者可以假冒知名DApp,誘騙用戶連接並批準交易。
不同錢包的模態設計可能不同,但攻擊者始終可以控制元信息。攻擊者可以創建虛假DApp,在交易批準模態中冒充知名應用。
案例2:通過MetaMask進行智能合約信息釣魚
MetaMask的交易批準模態中,除了DApp信息,還會顯示交易類型,如"Confirm"或"Unknown Method"。這個UI元素是通過讀取智能合約的籤名字節並查詢鏈上方法註冊表獲得的。
攻擊者可以利用這一機制,創建帶有誤導性方法名的釣魚智能合約。例如,將方法名註冊爲"SecurityUpdate",使交易請求看起來像是來自MetaMask的安全更新。
防範建議
錢包開發者應始終假設外部數據不可信,仔細選擇向用戶展示的信息,並驗證其合法性。
Wallet Connect協議可以考慮提前驗證DApp信息的有效性和合法性。
錢包應用應監測並過濾可能被用於釣魚攻擊的詞語。
用戶應對每個未知的交易請求保持警惕,仔細核實交易詳情。
模態釣魚攻擊揭示了Web3.0錢包UI設計中的潛在安全隱患。開發者和用戶都應提高警惕,共同維護Web3生態系統的安全。