📢 Gate广场 #MBG任务挑战# 发帖赢大奖活动火热开启!
想要瓜分1,000枚MBG?现在就来参与,展示你的洞察与实操,成为MBG推广达人!
💰️ 本期将评选出20位优质发帖用户,每人可轻松获得50枚MBG!
如何参与:
1️⃣ 调研MBG项目
对MBG的基本面、社区治理、发展目标、代币经济模型等方面进行研究,分享你对项目的深度研究。
2️⃣ 参与并分享真实体验
参与MBG相关活动(包括CandyDrop、Launchpool或现货交易),并晒出你的参与截图、收益图或实用教程。可以是收益展示、简明易懂的新手攻略、小窍门,也可以是现货行情点位分析,内容详实优先。
3️⃣ 鼓励带新互动
如果你的帖子吸引到他人参与活动,或者有好友评论“已参与/已交易”,将大幅提升你的获奖概率!
MBG热门活动(帖文需附下列活动链接):
Gate第287期Launchpool:MBG — 质押ETH、MBG即可免费瓜分112,500 MBG,每小时领取奖励!参与攻略见公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通过首次交易、交易MBG、邀请好友注册交易即可分187,500 MBG!参与攻略见公告:https://www.gate.com/announcements
模态钓鱼:Web3移动钱包面临新型网络诈骗威胁
Web3.0移动钱包新型网络钓鱼技术:模态钓鱼攻击
近期,一种新型网络钓鱼技术被发现,它可能会误导用户在连接去中心化应用(DApp)时的身份认证。我们将这种新型网络钓鱼技术命名为"模态钓鱼攻击"(Modal Phishing)。
攻击者通过向移动钱包发送伪造信息,冒充合法DApp,并在钱包的模态窗口中显示误导性内容,诱使用户批准交易。这种技术正在广泛使用。相关开发人员已确认将推出新的验证API以降低风险。
什么是模态钓鱼攻击?
在对移动钱包的安全研究中,我们注意到Web3.0加密钱包的某些用户界面(UI)元素可被攻击者操控来进行网络钓鱼。之所以称为模态钓鱼,是因为攻击主要针对加密钱包的模态窗口。
模态(或模态窗口)是移动应用中常用的UI元素,通常显示在主窗口顶部,用于快速操作,如批准/拒绝Web3.0钱包的交易请求。典型的Web3.0钱包模态设计通常提供交易详情和批准/拒绝按钮。
然而,这些UI元素可能被攻击者控制进行模态钓鱼攻击。攻击者可以更改交易细节,将请求伪装成来自可信来源的安全更新,诱使用户批准。
典型案例
案例1:通过Wallet Connect进行DApp钓鱼攻击
Wallet Connect是一个流行的开源协议,用于通过二维码或深度链接将用户钱包与DApp连接。在配对过程中,钱包会显示一个模态窗口,展示DApp的名称、网址、图标等信息。
然而,这些信息由DApp提供,钱包并不验证其真实性。攻击者可以假冒知名DApp,诱骗用户连接并批准交易。
不同钱包的模态设计可能不同,但攻击者始终可以控制元信息。攻击者可以创建虚假DApp,在交易批准模态中冒充知名应用。
案例2:通过MetaMask进行智能合约信息钓鱼
MetaMask的交易批准模态中,除了DApp信息,还会显示交易类型,如"Confirm"或"Unknown Method"。这个UI元素是通过读取智能合约的签名字节并查询链上方法注册表获得的。
攻击者可以利用这一机制,创建带有误导性方法名的钓鱼智能合约。例如,将方法名注册为"SecurityUpdate",使交易请求看起来像是来自MetaMask的安全更新。
防范建议
钱包开发者应始终假设外部数据不可信,仔细选择向用户展示的信息,并验证其合法性。
Wallet Connect协议可以考虑提前验证DApp信息的有效性和合法性。
钱包应用应监测并过滤可能被用于钓鱼攻击的词语。
用户应对每个未知的交易请求保持警惕,仔细核实交易详情。
模态钓鱼攻击揭示了Web3.0钱包UI设计中的潜在安全隐患。开发者和用户都应提高警惕,共同维护Web3生态系统的安全。