# ウェブ3.0モバイルウォレット新型目薬:モーダルフィッシング攻撃最近、接続された分散型アプリケーション(DApp)のアイデンティティに関してユーザーを誤導する可能性のある新しいフィッシング技術が発見されました。この新しいフィッシング技術は「モーダルフィッシング攻撃」と呼ばれています。攻撃者はモバイルウォレットに偽の情報を送信し、正当なDAppを装い、モバイルウォレットのモーダルウィンドウに誤解を招く情報を表示することで、ユーザーに取引を承認させるよう仕向けることができます。このフィッシング技術はすでに広く使用され始めています。セキュリティ研究者は関連コンポーネントの開発者と連絡を取り、このリスクを低減するために新しい検証APIを公開することを確認しました。## モーダルフィッシング攻撃とは?モバイルウォレットのセキュリティ研究において、研究者はウェブ3.0暗号通貨ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者によって制御され、フィッシング攻撃に利用される可能性があることに気付きました。このフィッシング技術はモーダルフィッシングと呼ばれ、攻撃者は主に暗号ウォレットのモーダルウィンドウをターゲットにしています。モーダル(またはモーダルウィンドウ)は、モバイルアプリケーションで一般的に使用されるUI要素で、通常アプリケーションのメインウィンドウの上部に表示されます。このデザインは、ユーザーがWeb3.0暗号通貨ウォレットの取引リクエストを承認または拒否するなどの迅速な操作を実行するのに便利です。典型的ウェブ3.0暗号通貨ウォレットモーダルデザインは、通常、ユーザーが署名などのリクエストを確認するために必要な情報を提供し、リクエストを承認または拒否するためのボタンを提供します。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)しかし、これらのユーザーインターフェース要素は、攻撃者によって制御され、モーダルフィッシング攻撃に利用される可能性があります。攻撃者は取引の詳細を変更し、取引要求を信頼できるソースからの「安全な更新」要求に偽装して、ユーザーに承認を促すことができます。## 典型的なケース### ケース1:ウォレットコネクトを通じたDAppフィッシング攻撃ウォレットコネクトプロトコルは、QRコードまたはディープリンクを通じてユーザーのウォレットとDAppを接続するための人気のオープンソースプロトコルです。ウェブ3.0暗号通貨ウォレットとDApp間のペアリングプロセスでは、ウォレットがモーダルウィンドウを表示し、DAppの名前、ウェブサイトアドレス、アイコン、および説明を含む受信したペアリングリクエストのメタ情報を表示します。しかし、これらの情報はDAppによって提供されており、ウォレットはその真実性を検証しません。フィッシング攻撃では、攻撃者が正当なDAppを装って、ユーザーを騙して接続させることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)セキュリティ研究者は、攻撃者がどのようにUniswap DAppを装ってMetamaskウォレットに接続し、ユーザーに受信取引を承認させるかを示しました。ペアリングプロセスで、ウォレット内に表示されるモーダルウィンドウには、一見合法に見えるUniswap DAppの名前、ウェブサイトのURL、およびアイコンが表示されました。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)### ケース2:MetaMaskを通じてスマートコントラクト情報のフィッシングMetamaskの承認モーダルには、対応する取引タイプを識別するためのUI要素があります。Metamaskはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名を照会します。しかし、これにより、攻撃者が制御できる別のUI要素がモーダル上に作成されることになります。攻撃者は「SecurityUpdate」という名前の支払い関数を含むフィッシングスマートコントラクトを作成し、被害者がそのスマートコントラクトに資金を転送できるようにします。攻撃者はまた、SignatureRegを使用して、メソッド署名を人間が読める文字列「SecurityUpdate」として登録することができます。Metamaskがこのフィッシングスマートコントラクトを解析すると、承認モーダル内でユーザーにこの一見合法的な関数名を提示します。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)## 予防に関する推奨事項1. ウォレットアプリケーションの開発者は常に外部からの入力データが信頼できないと仮定すべきです。2. 開発者はユーザーに表示する情報を慎重に選択し、これらの情報の合法性を確認すべきです。3. ユーザーは未知の取引リクエストに対して警戒を怠らず、取引の詳細を慎重に確認する必要があります。4. ウォレットコネクトプロトコルは、DApp情報の有効性と合法性を事前に検証することを検討できます。5. ウォレットアプリの開発者は、ユーザーに提示されるコンテンツを監視し、フィッシング攻撃に使用される可能性のある言葉をフィルタリングするための予防措置を講じるべきです。警戒を高め、安全対策を改善することで、私たちは共にこのような新型フィッシング攻撃のリスクを減少させ、ウェブ3.0エコシステムの安全を守ることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)
Web3モバイルウォレットの新たな脅威:モーダルフィッシング攻撃が襲来
ウェブ3.0モバイルウォレット新型目薬:モーダルフィッシング攻撃
最近、接続された分散型アプリケーション(DApp)のアイデンティティに関してユーザーを誤導する可能性のある新しいフィッシング技術が発見されました。この新しいフィッシング技術は「モーダルフィッシング攻撃」と呼ばれています。
攻撃者はモバイルウォレットに偽の情報を送信し、正当なDAppを装い、モバイルウォレットのモーダルウィンドウに誤解を招く情報を表示することで、ユーザーに取引を承認させるよう仕向けることができます。このフィッシング技術はすでに広く使用され始めています。セキュリティ研究者は関連コンポーネントの開発者と連絡を取り、このリスクを低減するために新しい検証APIを公開することを確認しました。
モーダルフィッシング攻撃とは?
モバイルウォレットのセキュリティ研究において、研究者はウェブ3.0暗号通貨ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者によって制御され、フィッシング攻撃に利用される可能性があることに気付きました。このフィッシング技術はモーダルフィッシングと呼ばれ、攻撃者は主に暗号ウォレットのモーダルウィンドウをターゲットにしています。
モーダル(またはモーダルウィンドウ)は、モバイルアプリケーションで一般的に使用されるUI要素で、通常アプリケーションのメインウィンドウの上部に表示されます。このデザインは、ユーザーがWeb3.0暗号通貨ウォレットの取引リクエストを承認または拒否するなどの迅速な操作を実行するのに便利です。
典型的ウェブ3.0暗号通貨ウォレットモーダルデザインは、通常、ユーザーが署名などのリクエストを確認するために必要な情報を提供し、リクエストを承認または拒否するためのボタンを提供します。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
しかし、これらのユーザーインターフェース要素は、攻撃者によって制御され、モーダルフィッシング攻撃に利用される可能性があります。攻撃者は取引の詳細を変更し、取引要求を信頼できるソースからの「安全な更新」要求に偽装して、ユーザーに承認を促すことができます。
典型的なケース
ケース1:ウォレットコネクトを通じたDAppフィッシング攻撃
ウォレットコネクトプロトコルは、QRコードまたはディープリンクを通じてユーザーのウォレットとDAppを接続するための人気のオープンソースプロトコルです。ウェブ3.0暗号通貨ウォレットとDApp間のペアリングプロセスでは、ウォレットがモーダルウィンドウを表示し、DAppの名前、ウェブサイトアドレス、アイコン、および説明を含む受信したペアリングリクエストのメタ情報を表示します。
しかし、これらの情報はDAppによって提供されており、ウォレットはその真実性を検証しません。フィッシング攻撃では、攻撃者が正当なDAppを装って、ユーザーを騙して接続させることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
セキュリティ研究者は、攻撃者がどのようにUniswap DAppを装ってMetamaskウォレットに接続し、ユーザーに受信取引を承認させるかを示しました。ペアリングプロセスで、ウォレット内に表示されるモーダルウィンドウには、一見合法に見えるUniswap DAppの名前、ウェブサイトのURL、およびアイコンが表示されました。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
ケース2:MetaMaskを通じてスマートコントラクト情報のフィッシング
Metamaskの承認モーダルには、対応する取引タイプを識別するためのUI要素があります。Metamaskはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名を照会します。しかし、これにより、攻撃者が制御できる別のUI要素がモーダル上に作成されることになります。
攻撃者は「SecurityUpdate」という名前の支払い関数を含むフィッシングスマートコントラクトを作成し、被害者がそのスマートコントラクトに資金を転送できるようにします。攻撃者はまた、SignatureRegを使用して、メソッド署名を人間が読める文字列「SecurityUpdate」として登録することができます。Metamaskがこのフィッシングスマートコントラクトを解析すると、承認モーダル内でユーザーにこの一見合法的な関数名を提示します。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
予防に関する推奨事項
ウォレットアプリケーションの開発者は常に外部からの入力データが信頼できないと仮定すべきです。
開発者はユーザーに表示する情報を慎重に選択し、これらの情報の合法性を確認すべきです。
ユーザーは未知の取引リクエストに対して警戒を怠らず、取引の詳細を慎重に確認する必要があります。
ウォレットコネクトプロトコルは、DApp情報の有効性と合法性を事前に検証することを検討できます。
ウォレットアプリの開発者は、ユーザーに提示されるコンテンツを監視し、フィッシング攻撃に使用される可能性のある言葉をフィルタリングするための予防措置を講じるべきです。
警戒を高め、安全対策を改善することで、私たちは共にこのような新型フィッシング攻撃のリスクを減少させ、ウェブ3.0エコシステムの安全を守ることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング