Web3.0 Ví tiền mới an toàn rủi ro: tấn công lừa đảo bằng mô hình
Gần đây, các chuyên gia an ninh phát hiện ra một loại kỹ thuật lừa đảo mới, kỹ thuật này có thể khiến người dùng bị lừa trong quá trình xác thực kết nối ứng dụng phi tập trung (DApp). Cuộc tấn công mới này được đặt tên là "tấn công lừa đảo theo mô hình" (Modal Phishing).
Kẻ tấn công có thể gửi thông tin giả đến ví tiền di động, giả mạo DApp hợp pháp và lừa đảo người dùng phê duyệt giao dịch bằng cách hiển thị thông tin sai lệch trong cửa sổ mô-đun của ví tiền. Kỹ thuật lừa đảo này đang được sử dụng rộng rãi. Các nhà phát triển thành phần liên quan đã xác nhận sẽ phát hành API xác thực mới để giảm thiểu rủi ro này.
Nguyên lý của cuộc tấn công lừa đảo mô-đun
Trong nghiên cứu về an ninh của ví tiền di động, các chuyên gia đã lưu ý rằng một số yếu tố giao diện người dùng của ví tiền mã hóa Web3.0 có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo. Được gọi là lừa đảo mô hình, vì kẻ tấn công chủ yếu nhắm vào cửa sổ mô hình của ví tiền mã hóa.
Cửa sổ mô-đun là một yếu tố UI thường thấy trong ứng dụng di động, thường hiển thị trên đỉnh cửa sổ chính, nhằm tạo điều kiện thuận lợi cho người dùng thực hiện các thao tác nhanh chóng, như phê duyệt/từ chối yêu cầu giao dịch của Ví tiền Web3.0. Thiết kế mô-đun Ví tiền Web3.0 điển hình thường cung cấp thông tin yêu cầu cần thiết để người dùng kiểm tra, cùng với các nút phê duyệt hoặc từ chối.
Tuy nhiên, các yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo mô hình. Kẻ tấn công có thể thay đổi chi tiết giao dịch, giả mạo yêu cầu giao dịch thành một yêu cầu "cập nhật an toàn" từ nguồn đáng tin cậy để dụ dỗ người dùng chấp thuận.
Các trường hợp tấn công điển hình
( 1. Tấn công lừa đảo DApp thông qua Wallet Connect
Giao thức Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3.0 sẽ hiển thị một cửa sổ mô-đun, hiển thị thông tin meta của yêu cầu ghép nối đến, bao gồm tên DApp, địa chỉ trang web, biểu tượng và mô tả.
Tuy nhiên, thông tin này được cung cấp bởi DApp, Ví tiền không xác minh tính xác thực của nó. Kẻ tấn công có thể giả mạo DApp hợp pháp, lừa người dùng kết nối với nó. Trong quá trình ghép nối, cửa sổ mô-đun hiển thị trong Ví tiền sẽ trình bày thông tin DApp có vẻ hợp pháp, tăng độ tin cậy của cuộc tấn công.
![Khám phá lừa đảo mới của Ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp###
( 2. Thực hiện lừa đảo thông tin hợp đồng thông minh qua một Ví tiền mã hóa
Trong một số chế độ phê duyệt của ví tiền tiền điện tử, sẽ hiển thị một chuỗi dùng để nhận diện loại giao dịch. Ví tiền sẽ đọc byte chữ ký của hợp đồng thông minh và sử dụng truy vấn bảng phương thức trên chuỗi. Tuy nhiên, điều này cũng cung cấp cho kẻ tấn công một yếu tố UI có thể kiểm soát khác.
Kẻ tấn công có thể tạo ra một hợp đồng thông minh lừa đảo, với tên hàm được đăng ký là "SecurityUpdate" và các chuỗi gây nhầm lẫn khác. Khi Ví tiền phân tích hợp đồng thông minh lừa đảo này, nó sẽ hiển thị tên hàm có vẻ đáng tin cậy này cho người dùng trong chế độ phê duyệt.
![Khám phá chiêu trò lừa đảo mới của Ví tiền Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp###
Đề xuất phòng ngừa
Các nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu từ bên ngoài không đáng tin cậy, cẩn thận chọn những thông tin nào sẽ hiển thị cho người dùng và xác minh tính hợp pháp của những thông tin đó.
Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không rõ ràng, không nên dễ dàng tin tưởng vào các cập nhật hoặc yêu cầu bảo mật có vẻ đến từ nguồn đáng tin cậy.
Các nhà phát triển giao thức như Wallet Connect nên xem xét xác minh tính hợp lệ và hợp pháp của thông tin DApp trước.
Ứng dụng Ví tiền nên thực hiện các biện pháp phòng ngừa, lọc bỏ những từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
Tóm lại, một số yếu tố UI trong cửa sổ mô-đun của ví tiền Web3.0 có thể bị kẻ tấn công thao túng, tạo ra những cái bẫy lừa đảo cực kỳ tinh vi. Người dùng và các nhà phát triển nên nâng cao cảnh giác, cùng nhau bảo vệ an toàn cho hệ sinh thái Web3.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
19 thích
Phần thưởng
19
5
Chia sẻ
Bình luận
0/400
MemeKingNFT
· 07-31 21:15
Ê? Móc câu đã xuống, niềm vui lại bắt đầu, đồ ngốc còn phải trồng...
Web3 Ví tiền di động gặp đe dọa mới: tấn công lừa đảo mô hình đang đến
Web3.0 Ví tiền mới an toàn rủi ro: tấn công lừa đảo bằng mô hình
Gần đây, các chuyên gia an ninh phát hiện ra một loại kỹ thuật lừa đảo mới, kỹ thuật này có thể khiến người dùng bị lừa trong quá trình xác thực kết nối ứng dụng phi tập trung (DApp). Cuộc tấn công mới này được đặt tên là "tấn công lừa đảo theo mô hình" (Modal Phishing).
Kẻ tấn công có thể gửi thông tin giả đến ví tiền di động, giả mạo DApp hợp pháp và lừa đảo người dùng phê duyệt giao dịch bằng cách hiển thị thông tin sai lệch trong cửa sổ mô-đun của ví tiền. Kỹ thuật lừa đảo này đang được sử dụng rộng rãi. Các nhà phát triển thành phần liên quan đã xác nhận sẽ phát hành API xác thực mới để giảm thiểu rủi ro này.
Nguyên lý của cuộc tấn công lừa đảo mô-đun
Trong nghiên cứu về an ninh của ví tiền di động, các chuyên gia đã lưu ý rằng một số yếu tố giao diện người dùng của ví tiền mã hóa Web3.0 có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo. Được gọi là lừa đảo mô hình, vì kẻ tấn công chủ yếu nhắm vào cửa sổ mô hình của ví tiền mã hóa.
Cửa sổ mô-đun là một yếu tố UI thường thấy trong ứng dụng di động, thường hiển thị trên đỉnh cửa sổ chính, nhằm tạo điều kiện thuận lợi cho người dùng thực hiện các thao tác nhanh chóng, như phê duyệt/từ chối yêu cầu giao dịch của Ví tiền Web3.0. Thiết kế mô-đun Ví tiền Web3.0 điển hình thường cung cấp thông tin yêu cầu cần thiết để người dùng kiểm tra, cùng với các nút phê duyệt hoặc từ chối.
Tuy nhiên, các yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo mô hình. Kẻ tấn công có thể thay đổi chi tiết giao dịch, giả mạo yêu cầu giao dịch thành một yêu cầu "cập nhật an toàn" từ nguồn đáng tin cậy để dụ dỗ người dùng chấp thuận.
Các trường hợp tấn công điển hình
( 1. Tấn công lừa đảo DApp thông qua Wallet Connect
Giao thức Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3.0 sẽ hiển thị một cửa sổ mô-đun, hiển thị thông tin meta của yêu cầu ghép nối đến, bao gồm tên DApp, địa chỉ trang web, biểu tượng và mô tả.
Tuy nhiên, thông tin này được cung cấp bởi DApp, Ví tiền không xác minh tính xác thực của nó. Kẻ tấn công có thể giả mạo DApp hợp pháp, lừa người dùng kết nối với nó. Trong quá trình ghép nối, cửa sổ mô-đun hiển thị trong Ví tiền sẽ trình bày thông tin DApp có vẻ hợp pháp, tăng độ tin cậy của cuộc tấn công.
![Khám phá lừa đảo mới của Ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp###
( 2. Thực hiện lừa đảo thông tin hợp đồng thông minh qua một Ví tiền mã hóa
Trong một số chế độ phê duyệt của ví tiền tiền điện tử, sẽ hiển thị một chuỗi dùng để nhận diện loại giao dịch. Ví tiền sẽ đọc byte chữ ký của hợp đồng thông minh và sử dụng truy vấn bảng phương thức trên chuỗi. Tuy nhiên, điều này cũng cung cấp cho kẻ tấn công một yếu tố UI có thể kiểm soát khác.
Kẻ tấn công có thể tạo ra một hợp đồng thông minh lừa đảo, với tên hàm được đăng ký là "SecurityUpdate" và các chuỗi gây nhầm lẫn khác. Khi Ví tiền phân tích hợp đồng thông minh lừa đảo này, nó sẽ hiển thị tên hàm có vẻ đáng tin cậy này cho người dùng trong chế độ phê duyệt.
![Khám phá chiêu trò lừa đảo mới của Ví tiền Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp###
Đề xuất phòng ngừa
Các nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu từ bên ngoài không đáng tin cậy, cẩn thận chọn những thông tin nào sẽ hiển thị cho người dùng và xác minh tính hợp pháp của những thông tin đó.
Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không rõ ràng, không nên dễ dàng tin tưởng vào các cập nhật hoặc yêu cầu bảo mật có vẻ đến từ nguồn đáng tin cậy.
Các nhà phát triển giao thức như Wallet Connect nên xem xét xác minh tính hợp lệ và hợp pháp của thông tin DApp trước.
Ứng dụng Ví tiền nên thực hiện các biện pháp phòng ngừa, lọc bỏ những từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
Tóm lại, một số yếu tố UI trong cửa sổ mô-đun của ví tiền Web3.0 có thể bị kẻ tấn công thao túng, tạo ra những cái bẫy lừa đảo cực kỳ tinh vi. Người dùng và các nhà phát triển nên nâng cao cảnh giác, cùng nhau bảo vệ an toàn cho hệ sinh thái Web3.