Веб 3.0 мобильный Кошелек новый промывание глаз: модальное фишинг-атака
Недавно была обнаружена новая техника фишинга, которая может вводить пользователей в заблуждение при подключении к идентификации децентрализованных приложений (DApp). Эта новая техника фишинга называется "модальная фишинг-атака" (Modal Phishing).
Злоумышленники могут отправлять поддельные сообщения мобильному кошельку, выдавая себя за легитимные DApp, и вводить пользователей в заблуждение, отображая вводящую в заблуждение информацию в модальном окне мобильного кошелька, чтобы заставить их одобрить транзакцию. Эта техника фишинга начала широко использоваться. Специалисты по безопасности уже общались с разработчиками соответствующих компонентов и подтвердили, что они выпустят новый API для проверки, чтобы снизить этот риск.
Что такое модальная фишинговая атака?
В ходе исследования безопасности мобильного Кошелька исследователи обратили внимание на то, что некоторые элементы пользовательского интерфейса (UI) криптовалютного Кошелька Веб 3.0 могут быть контролируемы злоумышленниками для проведения фишинговых атак. Эта техника фишинга была названа модальным фишингом, так как злоумышленники в основном нацеливаются на модальные окна криптовалютного Кошелька.
Модальное окно (или модальное окно) является распространённым элементом пользовательского интерфейса в мобильных приложениях, обычно отображается в верхней части главного окна приложения. Этот дизайн часто используется для облегчения выполнения пользователем быстрых действий, таких как одобрение или отклонение запроса на транзакцию в кошельке криптовалюты Веб 3.0.
Типичный дизайн модального окна криптовалютного кошелька Веб 3.0 обычно предоставляет необходимую информацию для проверки подписи и других запросов, а также кнопки для одобрения или отказа от запросов.
Однако эти элементы пользовательского интерфейса могут быть контролируемы злоумышленниками для проведения модальных фишинговых атак. Злоумышленники могут изменять детали транзакции и маскировать запрос на транзакцию как запрос "безопасного обновления" от надежного источника, чтобы заставить пользователя одобрить его.
Типичные случаи
Пример 1: Фишинг-атака DApp через Кошелек Connect
Протокол Wallet Connect является широко популярным открытым протоколом, используемым для подключения Кошелька пользователя к DApp через QR-коды или глубокие ссылки. В процессе сопряжения между Кошельками криптовалюты Веб 3.0 и DApp, Кошелек отображает модальное окно, показывающее метаданные входящего запроса на сопряжение, включая название DApp, адрес сайта, иконку и описание.
Однако эта информация предоставляется DApp, и кошелек не проверяет ее достоверность. В случае фишинговой атаки злоумышленник может выдать себя за легитимный DApp, обманув пользователя и заставив его подключиться.
Исследователи безопасности продемонстрировали, как злоумышленники могут выдавать себя за DApp Uniswap и подключаться к кошельку Metamask, чтобы обмануть пользователей и заставить их одобрить входящие транзакции. В ходе сопряжения модальное окно, отображаемое в кошельке, показывает название, веб-адрес и значок DApp Uniswap, которые выглядят законно.
Пример 2: Фишинг информации о смарт-контрактах через MetaMask
В модальном окне подтверждения Metamask есть элемент UI для идентификации соответствующего типа транзакции. Metamask считывает байты подписи смарт-контракта и использует реестр методов на блокчейне для запроса соответствующего названия метода. Однако это также создаст еще один элемент UI в модальном окне, который может быть под контролем злоумышленника.
Атакующий может создать фишинговый смарт-контракт, который содержит функцию платежа под названием "SecurityUpdate" и позволяет жертве перевести средства на этот смарт-контракт. Атакующий также может использовать SignatureReg для регистрации подписи метода в виде читаемой человеком строки "SecurityUpdate". Когда Metamask анализирует этот фишинговый смарт-контракт, он отображает это на вид легитимное имя функции в модальном окне одобрения.
Рекомендации по предотвращению
Разработчики приложений для Кошелька должны всегда предполагать, что входящие данные из внешних источников ненадежны.
Разработчики должны тщательно выбирать, какую информацию показывать пользователям, и проверять законность этой информации.
Пользователи должны быть настороже к каждому неизвестному запросу на сделку и внимательно проверять детали сделки.
Протокол Wallet Connect может рассмотреть возможность предварительной проверки действительности и законности информации о DApp.
Разработчики приложений для Кошелька должны отслеживать содержимое, которое будет представлено пользователям, и принимать меры для фильтрации слов, которые могут быть использованы для атак фишинга.
Повышая бдительность и улучшая меры безопасности, мы можем совместно работать над уменьшением риска таких новых видов фишинга и защитой безопасности экосистемы Веб 3.0.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
6
Поделиться
комментарий
0/400
HallucinationGrower
· 07-23 23:48
Кто попался, я смеюсь год.
Посмотреть ОригиналОтветить0
ReverseFOMOguy
· 07-21 16:33
Еще одна ловушка, да!
Посмотреть ОригиналОтветить0
liquidation_surfer
· 07-21 16:33
Стирайте, небольшие убытки не страшны, просто все в.
Посмотреть ОригиналОтветить0
SerumDegen
· 07-21 16:32
в убытке до завтрака... просто еще один день в децентрализованном финансировании лол
Новые угрозы для Web3 мобильных кошельков: атаки модального фишинга.
Веб 3.0 мобильный Кошелек новый промывание глаз: модальное фишинг-атака
Недавно была обнаружена новая техника фишинга, которая может вводить пользователей в заблуждение при подключении к идентификации децентрализованных приложений (DApp). Эта новая техника фишинга называется "модальная фишинг-атака" (Modal Phishing).
Злоумышленники могут отправлять поддельные сообщения мобильному кошельку, выдавая себя за легитимные DApp, и вводить пользователей в заблуждение, отображая вводящую в заблуждение информацию в модальном окне мобильного кошелька, чтобы заставить их одобрить транзакцию. Эта техника фишинга начала широко использоваться. Специалисты по безопасности уже общались с разработчиками соответствующих компонентов и подтвердили, что они выпустят новый API для проверки, чтобы снизить этот риск.
Что такое модальная фишинговая атака?
В ходе исследования безопасности мобильного Кошелька исследователи обратили внимание на то, что некоторые элементы пользовательского интерфейса (UI) криптовалютного Кошелька Веб 3.0 могут быть контролируемы злоумышленниками для проведения фишинговых атак. Эта техника фишинга была названа модальным фишингом, так как злоумышленники в основном нацеливаются на модальные окна криптовалютного Кошелька.
Модальное окно (или модальное окно) является распространённым элементом пользовательского интерфейса в мобильных приложениях, обычно отображается в верхней части главного окна приложения. Этот дизайн часто используется для облегчения выполнения пользователем быстрых действий, таких как одобрение или отклонение запроса на транзакцию в кошельке криптовалюты Веб 3.0.
Типичный дизайн модального окна криптовалютного кошелька Веб 3.0 обычно предоставляет необходимую информацию для проверки подписи и других запросов, а также кнопки для одобрения или отказа от запросов.
Однако эти элементы пользовательского интерфейса могут быть контролируемы злоумышленниками для проведения модальных фишинговых атак. Злоумышленники могут изменять детали транзакции и маскировать запрос на транзакцию как запрос "безопасного обновления" от надежного источника, чтобы заставить пользователя одобрить его.
Типичные случаи
Пример 1: Фишинг-атака DApp через Кошелек Connect
Протокол Wallet Connect является широко популярным открытым протоколом, используемым для подключения Кошелька пользователя к DApp через QR-коды или глубокие ссылки. В процессе сопряжения между Кошельками криптовалюты Веб 3.0 и DApp, Кошелек отображает модальное окно, показывающее метаданные входящего запроса на сопряжение, включая название DApp, адрес сайта, иконку и описание.
Однако эта информация предоставляется DApp, и кошелек не проверяет ее достоверность. В случае фишинговой атаки злоумышленник может выдать себя за легитимный DApp, обманув пользователя и заставив его подключиться.
Исследователи безопасности продемонстрировали, как злоумышленники могут выдавать себя за DApp Uniswap и подключаться к кошельку Metamask, чтобы обмануть пользователей и заставить их одобрить входящие транзакции. В ходе сопряжения модальное окно, отображаемое в кошельке, показывает название, веб-адрес и значок DApp Uniswap, которые выглядят законно.
Пример 2: Фишинг информации о смарт-контрактах через MetaMask
В модальном окне подтверждения Metamask есть элемент UI для идентификации соответствующего типа транзакции. Metamask считывает байты подписи смарт-контракта и использует реестр методов на блокчейне для запроса соответствующего названия метода. Однако это также создаст еще один элемент UI в модальном окне, который может быть под контролем злоумышленника.
Атакующий может создать фишинговый смарт-контракт, который содержит функцию платежа под названием "SecurityUpdate" и позволяет жертве перевести средства на этот смарт-контракт. Атакующий также может использовать SignatureReg для регистрации подписи метода в виде читаемой человеком строки "SecurityUpdate". Когда Metamask анализирует этот фишинговый смарт-контракт, он отображает это на вид легитимное имя функции в модальном окне одобрения.
Рекомендации по предотвращению
Разработчики приложений для Кошелька должны всегда предполагать, что входящие данные из внешних источников ненадежны.
Разработчики должны тщательно выбирать, какую информацию показывать пользователям, и проверять законность этой информации.
Пользователи должны быть настороже к каждому неизвестному запросу на сделку и внимательно проверять детали сделки.
Протокол Wallet Connect может рассмотреть возможность предварительной проверки действительности и законности информации о DApp.
Разработчики приложений для Кошелька должны отслеживать содержимое, которое будет представлено пользователям, и принимать меры для фильтрации слов, которые могут быть использованы для атак фишинга.
Повышая бдительность и улучшая меры безопасности, мы можем совместно работать над уменьшением риска таких новых видов фишинга и защитой безопасности экосистемы Веб 3.0.