Безпекові ризики Web3 мобільних гаманців: детальний аналіз модальних фішингових атак
Нещодавно було виявлено нову технологію фішингу, спрямовану на мобільні гаманці Web3, яка головним чином використовує модальні вікна в додатках гаманців для введення користувачів в оману. Ми назвали цю нову технологію фішингу "модальна фішинг-атака"(Modal Phishing).
У цьому типі атаки зловмисники можуть надсилати підроблену інформацію до мобільного Гаманець, видаючи себе за легітимний децентралізований додаток (DApp), та шляхом відображення вводячої в оману інформації у модальному вікні Гаманець спонукати користувачів затверджувати транзакції. Ця технологія широко використовується, і відповідні розробники підтвердили, що випустять новий API для верифікації, щоб знизити ризики.
Що таке модальна фішинг-атака?
Модальні фішингові атаки в основному спрямовані на модальні вікна крипто-гаманців. Модальне ( або модальне вікно ) є поширеним елементом інтерфейсу в мобільних додатках, зазвичай відображається у верхній частині основного вікна додатку, щоб спростити користувачеві виконання швидких операцій, таких як схвалення/відхилення запиту на транзакцію Web3 гаманця.
Типовий дизайн модального вікна гаманця Web3 зазвичай надає деталі транзакцій для перевірки користувачем, а також кнопки для схвалення або відхилення. Проте ці елементи інтерфейсу можуть бути контрольовані зловмисниками для здійснення фішингових атак.
Два типових випадки модального фішингу
1. Фішинг-атака на DApp через Гаманець Connect
Wallet Connect є популярним відкритим протоколом, що використовується для підключення гаманця користувача до DApp через QR-код або глибоке посилання. Під час процесу сполучення Web3 гаманець відображає модальне вікно, що демонструє метадані вхідного запиту на сполучення, включаючи назву DApp, веб-сайт, значок та опис.
Однак ця інформація надається DApp, і гаманець не перевіряє її достовірність. Зловмисники можуть підробляти цю інформацію, видаючи себе за легітимний DApp. Наприклад, зловмисник може стверджувати, що він Uniswap, і підключити гаманець користувача, вводячи користувача в оману, щоб той схвалив угоду.
2. Фішинг через інформацію смарт-контракту
Деякі гаманець додатки можуть відображати назву методу смарт-контракту у вікні модального підтвердження транзакції. Цей елемент інтерфейсу також може бути під контролем зловмисника.
Наприклад, зловмисник може створити фішинговий смарт-контракт, що містить платіжну функцію з назвою "SecurityUpdate". Коли гаманець розбирає цей контракт, він відображає користувачеві напис "Security Update" в модальному вікні підтвердження, що робить угоду більш надійною.
Рекомендації щодо запобігання
Розробники додатків для гаманців повинні завжди вважати вхідні зовнішні дані ненадійними, ретельно обираючи, яку інформацію показувати користувачам, і перевіряючи легітимність цієї інформації.
Користувачі повинні бути обережними з кожним невідомим запитом на транзакцію і не слід легко вірити інформації, що відображається у модальному вікні.
Протокол підключення DApp (, як Wallet Connect ), слід врахувати перевірку дійсності та легітимності інформації DApp заздалегідь.
Гаманець застосунок повинен моніторити та фільтрувати можливі слова, що можуть бути використані для фішингових атак.
Отже, модальні фішингові атаки використовують вразливість в додатках для гаманців, які не змогли повністю перевірити легітимність представлених елементів інтерфейсу. Підвищення обізнаності про такі атаки та зміцнення механізмів перевірки є надзвичайно важливими для захисту активів користувачів Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
6
Поділіться
Прокоментувати
0/400
GateUser-1a2ed0b9
· 07-05 11:23
Ой, знову з'явився новий вид шахрайства!
Переглянути оригіналвідповісти на0
DefiEngineerJack
· 07-03 18:31
*с sigh* ще один день, ще одна експлуатація. модальна валідація була тривіальним вектором атаки з 2019 року, чесно кажучи.
Переглянути оригіналвідповісти на0
AirdropHunterXiao
· 07-02 15:13
Знову нова рибалка, справді не дає спокою.
Переглянути оригіналвідповісти на0
GasFeeCrier
· 07-02 15:11
Риба знову ловить мій eth? Я такий бідний, що ще й ловлю?
Переглянути оригіналвідповісти на0
degenonymous
· 07-02 15:09
Знову нова пастка, шиткоїн справді може щось придумати
Переглянути оригіналвідповісти на0
PseudoIntellectual
· 07-02 14:58
Знову нові хитрощі риболовлі, і монета може зникнути, якщо не бути обережним.
Нові загрози для мобільних гаманець Web3: детальний опис модальних фішингових атак та запобігання
Безпекові ризики Web3 мобільних гаманців: детальний аналіз модальних фішингових атак
Нещодавно було виявлено нову технологію фішингу, спрямовану на мобільні гаманці Web3, яка головним чином використовує модальні вікна в додатках гаманців для введення користувачів в оману. Ми назвали цю нову технологію фішингу "модальна фішинг-атака"(Modal Phishing).
У цьому типі атаки зловмисники можуть надсилати підроблену інформацію до мобільного Гаманець, видаючи себе за легітимний децентралізований додаток (DApp), та шляхом відображення вводячої в оману інформації у модальному вікні Гаманець спонукати користувачів затверджувати транзакції. Ця технологія широко використовується, і відповідні розробники підтвердили, що випустять новий API для верифікації, щоб знизити ризики.
Що таке модальна фішинг-атака?
Модальні фішингові атаки в основному спрямовані на модальні вікна крипто-гаманців. Модальне ( або модальне вікно ) є поширеним елементом інтерфейсу в мобільних додатках, зазвичай відображається у верхній частині основного вікна додатку, щоб спростити користувачеві виконання швидких операцій, таких як схвалення/відхилення запиту на транзакцію Web3 гаманця.
Типовий дизайн модального вікна гаманця Web3 зазвичай надає деталі транзакцій для перевірки користувачем, а також кнопки для схвалення або відхилення. Проте ці елементи інтерфейсу можуть бути контрольовані зловмисниками для здійснення фішингових атак.
Два типових випадки модального фішингу
1. Фішинг-атака на DApp через Гаманець Connect
Wallet Connect є популярним відкритим протоколом, що використовується для підключення гаманця користувача до DApp через QR-код або глибоке посилання. Під час процесу сполучення Web3 гаманець відображає модальне вікно, що демонструє метадані вхідного запиту на сполучення, включаючи назву DApp, веб-сайт, значок та опис.
Однак ця інформація надається DApp, і гаманець не перевіряє її достовірність. Зловмисники можуть підробляти цю інформацію, видаючи себе за легітимний DApp. Наприклад, зловмисник може стверджувати, що він Uniswap, і підключити гаманець користувача, вводячи користувача в оману, щоб той схвалив угоду.
2. Фішинг через інформацію смарт-контракту
Деякі гаманець додатки можуть відображати назву методу смарт-контракту у вікні модального підтвердження транзакції. Цей елемент інтерфейсу також може бути під контролем зловмисника.
Наприклад, зловмисник може створити фішинговий смарт-контракт, що містить платіжну функцію з назвою "SecurityUpdate". Коли гаманець розбирає цей контракт, він відображає користувачеві напис "Security Update" в модальному вікні підтвердження, що робить угоду більш надійною.
Рекомендації щодо запобігання
Розробники додатків для гаманців повинні завжди вважати вхідні зовнішні дані ненадійними, ретельно обираючи, яку інформацію показувати користувачам, і перевіряючи легітимність цієї інформації.
Користувачі повинні бути обережними з кожним невідомим запитом на транзакцію і не слід легко вірити інформації, що відображається у модальному вікні.
Протокол підключення DApp (, як Wallet Connect ), слід врахувати перевірку дійсності та легітимності інформації DApp заздалегідь.
Гаманець застосунок повинен моніторити та фільтрувати можливі слова, що можуть бути використані для фішингових атак.
Отже, модальні фішингові атаки використовують вразливість в додатках для гаманців, які не змогли повністю перевірити легітимність представлених елементів інтерфейсу. Підвищення обізнаності про такі атаки та зміцнення механізмів перевірки є надзвичайно важливими для захисту активів користувачів Web3.