Web3.0 Ví tiền mới loại trò lừa bịp: tấn công lừa đảo mô hình
Gần đây, một loại kỹ thuật lừa đảo trực tuyến mới đã được phát hiện, nó có thể đánh lừa người dùng trong việc kết nối với danh tính của các ứng dụng phi tập trung (DApp). Kỹ thuật lừa đảo trực tuyến mới này được gọi là "tấn công lừa đảo theo chế độ" (Modal Phishing).
Kẻ tấn công có thể gửi thông tin giả mạo đến ví tiền di động, mạo danh DApp hợp pháp, và lừa đảo người dùng phê duyệt giao dịch bằng cách hiển thị thông tin gây hiểu lầm trong cửa sổ mô-đun của ví tiền di động. Kỹ thuật lừa đảo trực tuyến này đã bắt đầu được sử dụng rộng rãi. Các nhà nghiên cứu an ninh đã liên hệ với các nhà phát triển thành phần liên quan để xác nhận rằng họ sẽ phát hành API xác thực mới nhằm giảm thiểu rủi ro này.
Mô hình tấn công lừa đảo là gì?
Trong nghiên cứu về an ninh của ví tiền di động, các nhà nghiên cứu đã lưu ý rằng một số yếu tố giao diện người dùng (UI) của ví tiền điện tử Web3.0 có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo. Kỹ thuật lừa đảo này được gọi là lừa đảo mô hình, vì kẻ tấn công chủ yếu nhắm vào cửa sổ mô hình của ví tiền điện tử.
Mô-đun (hoặc cửa sổ mô-đun) là một phần tử UI thường gặp trong ứng dụng di động, thường hiển thị ở đầu cửa sổ chính của ứng dụng. Thiết kế này thường được sử dụng để giúp người dùng thực hiện các thao tác nhanh chóng, như phê duyệt hoặc từ chối yêu cầu giao dịch từ Ví tiền tiền điện tử Web3.0.
Thiết kế mô-đun ví tiền tiền điện tử Web3.0 điển hình thường cung cấp thông tin cần thiết để người dùng kiểm tra chữ ký và các yêu cầu khác, cũng như nút để chấp thuận hoặc từ chối các yêu cầu.
Tuy nhiên, các yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo theo kiểu mô-đun. Kẻ tấn công có thể thay đổi chi tiết giao dịch và giả mạo yêu cầu giao dịch như một yêu cầu "cập nhật an toàn" từ nguồn đáng tin cậy để dụ dỗ người dùng phê duyệt.
Ví dụ điển hình
Trường hợp 1: Tấn công lừa đảo DApp thông qua Wallet Connect
Giao thức Wallet Connect là một giao thức mã nguồn mở rất phổ biến, được sử dụng để kết nối ví tiền của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối giữa ví tiền tiền điện tử Web3.0 và DApp, ví sẽ hiển thị một cửa sổ mô hình, hiển thị thông tin meta của yêu cầu ghép nối đến, bao gồm tên DApp, địa chỉ trang web, biểu tượng và mô tả.
Tuy nhiên, những thông tin này được cung cấp bởi DApp, ví tiền không xác minh tính xác thực của chúng. Trong các cuộc tấn công lừa đảo qua mạng, kẻ tấn công có thể giả mạo DApp hợp pháp, lừa người dùng kết nối với nó.
Các nhà nghiên cứu an ninh đã trình bày cách mà kẻ tấn công giả mạo DApp Uniswap và kết nối với Ví tiền Metamask, từ đó lừa đảo người dùng phê duyệt các giao dịch đến. Trong quá trình ghép cặp, cửa sổ mô-đun hiển thị trong ví tiền thể hiện tên, địa chỉ trang web và biểu tượng của DApp Uniswap có vẻ hợp pháp.
Trường hợp 2: Lừa đảo thông tin hợp đồng thông minh qua MetaMask
Trong chế độ phê duyệt của Metamask, có một yếu tố UI để nhận diện loại giao dịch tương ứng. Metamask sẽ đọc byte chữ ký của hợp đồng thông minh và sử dụng bảng tra cứu phương thức trên chuỗi để truy vấn tên phương thức tương ứng. Tuy nhiên, điều này cũng sẽ tạo ra một yếu tố UI khác trên chế độ mà kẻ tấn công có thể kiểm soát.
Kẻ tấn công có thể thiết lập một hợp đồng thông minh lừa đảo, trong đó có một hàm thanh toán tên là "SecurityUpdate", và cho phép nạn nhân chuyển tiền vào hợp đồng thông minh này. Kẻ tấn công cũng có thể sử dụng SignatureReg để đăng ký chữ ký phương thức dưới dạng chuỗi dễ đọc cho con người là "SecurityUpdate". Khi Metamask phân tích hợp đồng thông minh lừa đảo này, nó sẽ hiển thị tên hàm có vẻ hợp pháp này cho người dùng trong mô-đun phê duyệt.
Đề xuất phòng ngừa
Các nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu bên ngoài được gửi đến là không đáng tin cậy.
Các nhà phát triển nên cẩn thận lựa chọn thông tin nào sẽ hiển thị cho người dùng và xác minh tính hợp pháp của những thông tin đó.
Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không rõ và kiểm tra kỹ chi tiết giao dịch.
Giao thức Wallet Connect có thể xem xét xác thực trước thông tin DApp về tính hợp lệ và hợp pháp.
Các nhà phát triển ứng dụng Ví tiền nên theo dõi những nội dung sẽ được trình bày cho người dùng và thực hiện các biện pháp phòng ngừa để lọc bỏ những từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
Bằng cách nâng cao cảnh giác và cải thiện các biện pháp an ninh, chúng ta có thể cùng nhau nỗ lực giảm thiểu rủi ro của các cuộc tấn công lừa đảo mạng kiểu mới này, bảo vệ an toàn cho hệ sinh thái Web3.0.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
6
Chia sẻ
Bình luận
0/400
HallucinationGrower
· 07-23 23:48
Ai bị lừa tôi sẽ cười một năm
Xem bản gốcTrả lời0
ReverseFOMOguy
· 07-21 16:33
Lại một cái bẫy nữa!
Xem bản gốcTrả lời0
liquidation_surfer
· 07-21 16:33
Cọ, nhỏ lỗ thì có gì phải sợ, trực tiếp All in.
Xem bản gốcTrả lời0
SerumDegen
· 07-21 16:32
rekt trước bữa sáng... chỉ là một ngày nữa trong defi lmao
Web3 Ví tiền mới mối đe dọa: Tấn công lừa đảo mô hình xuất hiện
Web3.0 Ví tiền mới loại trò lừa bịp: tấn công lừa đảo mô hình
Gần đây, một loại kỹ thuật lừa đảo trực tuyến mới đã được phát hiện, nó có thể đánh lừa người dùng trong việc kết nối với danh tính của các ứng dụng phi tập trung (DApp). Kỹ thuật lừa đảo trực tuyến mới này được gọi là "tấn công lừa đảo theo chế độ" (Modal Phishing).
Kẻ tấn công có thể gửi thông tin giả mạo đến ví tiền di động, mạo danh DApp hợp pháp, và lừa đảo người dùng phê duyệt giao dịch bằng cách hiển thị thông tin gây hiểu lầm trong cửa sổ mô-đun của ví tiền di động. Kỹ thuật lừa đảo trực tuyến này đã bắt đầu được sử dụng rộng rãi. Các nhà nghiên cứu an ninh đã liên hệ với các nhà phát triển thành phần liên quan để xác nhận rằng họ sẽ phát hành API xác thực mới nhằm giảm thiểu rủi ro này.
Mô hình tấn công lừa đảo là gì?
Trong nghiên cứu về an ninh của ví tiền di động, các nhà nghiên cứu đã lưu ý rằng một số yếu tố giao diện người dùng (UI) của ví tiền điện tử Web3.0 có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo. Kỹ thuật lừa đảo này được gọi là lừa đảo mô hình, vì kẻ tấn công chủ yếu nhắm vào cửa sổ mô hình của ví tiền điện tử.
Mô-đun (hoặc cửa sổ mô-đun) là một phần tử UI thường gặp trong ứng dụng di động, thường hiển thị ở đầu cửa sổ chính của ứng dụng. Thiết kế này thường được sử dụng để giúp người dùng thực hiện các thao tác nhanh chóng, như phê duyệt hoặc từ chối yêu cầu giao dịch từ Ví tiền tiền điện tử Web3.0.
Thiết kế mô-đun ví tiền tiền điện tử Web3.0 điển hình thường cung cấp thông tin cần thiết để người dùng kiểm tra chữ ký và các yêu cầu khác, cũng như nút để chấp thuận hoặc từ chối các yêu cầu.
Tuy nhiên, các yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo theo kiểu mô-đun. Kẻ tấn công có thể thay đổi chi tiết giao dịch và giả mạo yêu cầu giao dịch như một yêu cầu "cập nhật an toàn" từ nguồn đáng tin cậy để dụ dỗ người dùng phê duyệt.
Ví dụ điển hình
Trường hợp 1: Tấn công lừa đảo DApp thông qua Wallet Connect
Giao thức Wallet Connect là một giao thức mã nguồn mở rất phổ biến, được sử dụng để kết nối ví tiền của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối giữa ví tiền tiền điện tử Web3.0 và DApp, ví sẽ hiển thị một cửa sổ mô hình, hiển thị thông tin meta của yêu cầu ghép nối đến, bao gồm tên DApp, địa chỉ trang web, biểu tượng và mô tả.
Tuy nhiên, những thông tin này được cung cấp bởi DApp, ví tiền không xác minh tính xác thực của chúng. Trong các cuộc tấn công lừa đảo qua mạng, kẻ tấn công có thể giả mạo DApp hợp pháp, lừa người dùng kết nối với nó.
Các nhà nghiên cứu an ninh đã trình bày cách mà kẻ tấn công giả mạo DApp Uniswap và kết nối với Ví tiền Metamask, từ đó lừa đảo người dùng phê duyệt các giao dịch đến. Trong quá trình ghép cặp, cửa sổ mô-đun hiển thị trong ví tiền thể hiện tên, địa chỉ trang web và biểu tượng của DApp Uniswap có vẻ hợp pháp.
Trường hợp 2: Lừa đảo thông tin hợp đồng thông minh qua MetaMask
Trong chế độ phê duyệt của Metamask, có một yếu tố UI để nhận diện loại giao dịch tương ứng. Metamask sẽ đọc byte chữ ký của hợp đồng thông minh và sử dụng bảng tra cứu phương thức trên chuỗi để truy vấn tên phương thức tương ứng. Tuy nhiên, điều này cũng sẽ tạo ra một yếu tố UI khác trên chế độ mà kẻ tấn công có thể kiểm soát.
Kẻ tấn công có thể thiết lập một hợp đồng thông minh lừa đảo, trong đó có một hàm thanh toán tên là "SecurityUpdate", và cho phép nạn nhân chuyển tiền vào hợp đồng thông minh này. Kẻ tấn công cũng có thể sử dụng SignatureReg để đăng ký chữ ký phương thức dưới dạng chuỗi dễ đọc cho con người là "SecurityUpdate". Khi Metamask phân tích hợp đồng thông minh lừa đảo này, nó sẽ hiển thị tên hàm có vẻ hợp pháp này cho người dùng trong mô-đun phê duyệt.
Đề xuất phòng ngừa
Các nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu bên ngoài được gửi đến là không đáng tin cậy.
Các nhà phát triển nên cẩn thận lựa chọn thông tin nào sẽ hiển thị cho người dùng và xác minh tính hợp pháp của những thông tin đó.
Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không rõ và kiểm tra kỹ chi tiết giao dịch.
Giao thức Wallet Connect có thể xem xét xác thực trước thông tin DApp về tính hợp lệ và hợp pháp.
Các nhà phát triển ứng dụng Ví tiền nên theo dõi những nội dung sẽ được trình bày cho người dùng và thực hiện các biện pháp phòng ngừa để lọc bỏ những từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
Bằng cách nâng cao cảnh giác và cải thiện các biện pháp an ninh, chúng ta có thể cùng nhau nỗ lực giảm thiểu rủi ro của các cuộc tấn công lừa đảo mạng kiểu mới này, bảo vệ an toàn cho hệ sinh thái Web3.0.