📢 #Gate广场征文活动第三期# 正式启动!
🎮 本期聚焦:Yooldo Games (ESPORTS)
✍️ 分享独特见解 + 参与互动推广,若同步参与 Gate 第 286 期 Launchpool、CandyDrop 或 Alpha 活动,即可获得任意奖励资格!
💡 内容创作 + 空投参与 = 双重加分,大奖候选人就是你!
💰总奖池:4,464 枚 $ESPORTS
🏆 一等奖(1名):964 枚
🥈 二等奖(5名):每人 400 枚
🥉 三等奖(10名):每人 150 枚
🚀 参与方式:
在 Gate广场发布不少于 300 字的原创文章
添加标签: #Gate广场征文活动第三期#
每篇文章需 ≥3 个互动(点赞 / 评论 / 转发)
发布参与 Launchpool / CandyDrop / Alpha 任一活动的截图,作为获奖资格凭证
同步转发至 X(推特)可增加获奖概率,标签:#GateSquare 👉 https://www.gate.com/questionnaire/6907
🎯 双倍奖励机会:参与第 286 期 Launchpool!
质押 BTC 或 ESPORTS,瓜分 803,571 枚 $ESPORTS,每小时发放
时间:7 月 21 日 20:00 – 7 月 25 日 20:00(UTC+8)
🧠 写作方向建议:
Yooldo
模态钓鱼:Web3移动钱包面临新型网络诈骗威胁
Web3.0移动钱包新型网络钓鱼技术:模态钓鱼攻击
近期,一种新型网络钓鱼技术被发现,它可能会误导用户在连接去中心化应用(DApp)时的身份认证。我们将这种新型网络钓鱼技术命名为"模态钓鱼攻击"(Modal Phishing)。
攻击者通过向移动钱包发送伪造信息,冒充合法DApp,并在钱包的模态窗口中显示误导性内容,诱使用户批准交易。这种技术正在广泛使用。相关开发人员已确认将推出新的验证API以降低风险。
什么是模态钓鱼攻击?
在对移动钱包的安全研究中,我们注意到Web3.0加密钱包的某些用户界面(UI)元素可被攻击者操控来进行网络钓鱼。之所以称为模态钓鱼,是因为攻击主要针对加密钱包的模态窗口。
模态(或模态窗口)是移动应用中常用的UI元素,通常显示在主窗口顶部,用于快速操作,如批准/拒绝Web3.0钱包的交易请求。典型的Web3.0钱包模态设计通常提供交易详情和批准/拒绝按钮。
然而,这些UI元素可能被攻击者控制进行模态钓鱼攻击。攻击者可以更改交易细节,将请求伪装成来自可信来源的安全更新,诱使用户批准。
典型案例
案例1:通过Wallet Connect进行DApp钓鱼攻击
Wallet Connect是一个流行的开源协议,用于通过二维码或深度链接将用户钱包与DApp连接。在配对过程中,钱包会显示一个模态窗口,展示DApp的名称、网址、图标等信息。
然而,这些信息由DApp提供,钱包并不验证其真实性。攻击者可以假冒知名DApp,诱骗用户连接并批准交易。
不同钱包的模态设计可能不同,但攻击者始终可以控制元信息。攻击者可以创建虚假DApp,在交易批准模态中冒充知名应用。
案例2:通过MetaMask进行智能合约信息钓鱼
MetaMask的交易批准模态中,除了DApp信息,还会显示交易类型,如"Confirm"或"Unknown Method"。这个UI元素是通过读取智能合约的签名字节并查询链上方法注册表获得的。
攻击者可以利用这一机制,创建带有误导性方法名的钓鱼智能合约。例如,将方法名注册为"SecurityUpdate",使交易请求看起来像是来自MetaMask的安全更新。
防范建议
钱包开发者应始终假设外部数据不可信,仔细选择向用户展示的信息,并验证其合法性。
Wallet Connect协议可以考虑提前验证DApp信息的有效性和合法性。
钱包应用应监测并过滤可能被用于钓鱼攻击的词语。
用户应对每个未知的交易请求保持警惕,仔细核实交易详情。
模态钓鱼攻击揭示了Web3.0钱包UI设计中的潜在安全隐患。开发者和用户都应提高警惕,共同维护Web3生态系统的安全。