Web3.0المحفظة الجديدة هجمات صيد الأسماك: صيد الأسماك النمطية
في الآونة الأخيرة، اكتشفنا نوعًا جديدًا من تقنيات التصيد الاحتيالي، تستهدف بشكل خاص مرحلة التحقق من الهوية المتصلة بالتطبيقات اللامركزية (DApp). أطلقنا على هذه التقنية الجديدة اسم "هجوم التصيد الاحتيالي النمطي" (Modal Phishing).
في هذا النوع من الهجمات، يمكن للمجرمين إرسال معلومات مزيفة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي. من خلال عرض معلومات مضللة في نافذة وضع المحفظة، يتم إغراء المستخدمين بالموافقة على معاملات خبيثة. تُستخدم هذه التقنية في التصيد الاحتيالي على نطاق واسع في الوقت الحالي. لقد تواصلنا مع مطوري المكونات المعنية، وسينشرون واجهة برمجة تطبيقات جديدة للتحقق من أجل تقليل المخاطر.
ما هو صيد النماذج؟
في دراسة أمن المحفظة المحمولة، لاحظنا أن بعض عناصر واجهة المستخدم (UI) لمحفظة Web3.0 يمكن أن يسيطر عليها المهاجمون لاستخدامها في هجمات التصيد. يُطلق على هذا النوع من التصيد اسم تصيد النمط، لأن المهاجمين يستهدفون بشكل رئيسي النوافذ النمطية لمحافظ التشفير.
النموذج (أو نافذة النموذج) هو عنصر واجهة مستخدم شائع في التطبيقات المحمولة، وعادة ما يظهر في الجزء العلوي من نافذة التطبيق الرئيسية. هذا التصميم يسهل على المستخدمين القيام بعمليات سريعة، مثل الموافقة أو رفض طلبات المعاملات من المحفظة Web3.0.
تصميم وضع المحفظة النموذجي لـ Web3.0 عادةً ما يوفر المعلومات الضرورية لتمكين المستخدم من التحقق، مثل طلب التوقيع، بالإضافة إلى أزرار الموافقة أو الرفض.
ومع ذلك، قد يتمكن المهاجمون من السيطرة على عناصر واجهة المستخدم هذه، واستخدامها في هجمات التصيد الاحتيالي النمطية. يمكن للمهاجمين تغيير تفاصيل المعاملات، وتزييف طلبات المعاملات كعمليات تبدو مشروعة مثل "تحديث آمن"، مما يخدع المستخدمين للموافقة.
تحليل حالات الهجمات
الحالة 1: هجوم تصيد DApp عبر المحفظة Wallet Connect
Wallet Connect هو بروتوكول مفتوح المصدر يحظى بشعبية واسعة، يستخدم لربط محفظة المستخدم مع DApp عبر رمز الاستجابة السريعة أو روابط عميقة. أثناء عملية الاقتران، ستظهر محفظة Web3.0 نافذة نموذجية تعرض معلومات الميتا الخاصة بطلب الاقتران الوارد، بما في ذلك اسم DApp، ورابطه، ورمزه، ووصفه.
ومع ذلك، يتم توفير هذه المعلومات من قبل DApp، ولا تتحقق المحفظة من صحتها. يمكن أن يقوم المهاجمون بانتحال شخصية DApp شرعي، وخداع المستخدمين للاتصال. خلال عملية الاقتران، طالما أراد الضحية إجراء عمليات على الموقع المزيف، يمكن للمهاجم استبدال معلمات طلب المعاملة (مثل العنوان المستهدف والمبلغ) لسرقة الأموال.
الحالة 2: عملية تصيد معلومات العقد الذكي عبر MetaMask
في نموذج الموافقة في MetaMask ، يوجد عنصر واجهة مستخدم يعرض نوع المعاملة. يقرأ MetaMask بايت التوقيع لعقد الذكاء ويستخدم استعلام سجل الطرق على السلسلة للبحث عن اسم الطريقة المعني. ومع ذلك ، فإن هذا أيضًا يخلق عنصر واجهة مستخدم آخر يمكن أن يتحكم فيه المهاجم.
يمكن للمهاجمين إنشاء عقد ذكي للتصيد، مسجلين اسم طريقة مثل "SecurityUpdate" وغيرها من الأسماء الم misleading. عندما يقوم MetaMask بتحليل هذا العقد، سيظهر هذا الاسم للمستخدم في وضع الموافقة، مما يجعل طلب المعاملة يبدو وكأنه من "MetaMask" لـ "تحديث أمني".
نصائح للوقاية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات الواردة من الخارج غير موثوقة، ويجب عليهم اختيار المعلومات التي يتم عرضها للمستخدمين بعناية والتحقق من مشروعيتها.
يجب على المستخدم أن يكون حذرًا بشأن كل طلب交易未知 والتحقق بعناية من تفاصيل交易.
يجب على بروتوكولات مثل Wallet Connect أن تأخذ في الاعتبار التحقق المسبق من صحة وشرعية معلومات DApp.
يجب على تطبيق المحفظة اتخاذ تدابير وقائية لتصفية الكلمات المضللة التي قد تُستخدم في هجمات التصيد.
بالمجمل، قد يتمكن المهاجمون من التلاعب ببعض عناصر واجهة مستخدم المحفظة الخاصة بـ Web3.0، مما يخلق فخاخ تصيد تبدو حقيقية. يجب على المستخدمين والمطورين أن يكونوا حذرين معًا للحفاظ على أمن نظام Web3.0 البيئي.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 9
أعجبني
9
7
إعادة النشر
مشاركة
تعليق
0/400
TokenVelocityTrauma
· 07-29 14:12
هذه الفخ كانت قاسية جداً، لقد وقعت في هذه الحفرة من قبل.
شاهد النسخة الأصليةرد0
RektCoaster
· 07-27 23:37
لذا من هو أكبر فائز... حتى يمكن تزوير معلومات محفظتي
شاهد النسخة الأصليةرد0
consensus_failure
· 07-26 15:11
الصلابة تبقى صلابة، وما لا يمكن تثبيته لن يُثبت.
شاهد النسخة الأصليةرد0
ProxyCollector
· 07-26 15:11
هل هناك فخ جديد؟ كان يجب أن يتم السيطرة عليه منذ فترة!
تحذير من هجمات التصيد الجديدة على المحفظة المحمولة Web3.0: هجوم التصيد النمطي قادم
Web3.0المحفظة الجديدة هجمات صيد الأسماك: صيد الأسماك النمطية
في الآونة الأخيرة، اكتشفنا نوعًا جديدًا من تقنيات التصيد الاحتيالي، تستهدف بشكل خاص مرحلة التحقق من الهوية المتصلة بالتطبيقات اللامركزية (DApp). أطلقنا على هذه التقنية الجديدة اسم "هجوم التصيد الاحتيالي النمطي" (Modal Phishing).
في هذا النوع من الهجمات، يمكن للمجرمين إرسال معلومات مزيفة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي. من خلال عرض معلومات مضللة في نافذة وضع المحفظة، يتم إغراء المستخدمين بالموافقة على معاملات خبيثة. تُستخدم هذه التقنية في التصيد الاحتيالي على نطاق واسع في الوقت الحالي. لقد تواصلنا مع مطوري المكونات المعنية، وسينشرون واجهة برمجة تطبيقات جديدة للتحقق من أجل تقليل المخاطر.
ما هو صيد النماذج؟
في دراسة أمن المحفظة المحمولة، لاحظنا أن بعض عناصر واجهة المستخدم (UI) لمحفظة Web3.0 يمكن أن يسيطر عليها المهاجمون لاستخدامها في هجمات التصيد. يُطلق على هذا النوع من التصيد اسم تصيد النمط، لأن المهاجمين يستهدفون بشكل رئيسي النوافذ النمطية لمحافظ التشفير.
النموذج (أو نافذة النموذج) هو عنصر واجهة مستخدم شائع في التطبيقات المحمولة، وعادة ما يظهر في الجزء العلوي من نافذة التطبيق الرئيسية. هذا التصميم يسهل على المستخدمين القيام بعمليات سريعة، مثل الموافقة أو رفض طلبات المعاملات من المحفظة Web3.0.
تصميم وضع المحفظة النموذجي لـ Web3.0 عادةً ما يوفر المعلومات الضرورية لتمكين المستخدم من التحقق، مثل طلب التوقيع، بالإضافة إلى أزرار الموافقة أو الرفض.
ومع ذلك، قد يتمكن المهاجمون من السيطرة على عناصر واجهة المستخدم هذه، واستخدامها في هجمات التصيد الاحتيالي النمطية. يمكن للمهاجمين تغيير تفاصيل المعاملات، وتزييف طلبات المعاملات كعمليات تبدو مشروعة مثل "تحديث آمن"، مما يخدع المستخدمين للموافقة.
تحليل حالات الهجمات
الحالة 1: هجوم تصيد DApp عبر المحفظة Wallet Connect
Wallet Connect هو بروتوكول مفتوح المصدر يحظى بشعبية واسعة، يستخدم لربط محفظة المستخدم مع DApp عبر رمز الاستجابة السريعة أو روابط عميقة. أثناء عملية الاقتران، ستظهر محفظة Web3.0 نافذة نموذجية تعرض معلومات الميتا الخاصة بطلب الاقتران الوارد، بما في ذلك اسم DApp، ورابطه، ورمزه، ووصفه.
ومع ذلك، يتم توفير هذه المعلومات من قبل DApp، ولا تتحقق المحفظة من صحتها. يمكن أن يقوم المهاجمون بانتحال شخصية DApp شرعي، وخداع المستخدمين للاتصال. خلال عملية الاقتران، طالما أراد الضحية إجراء عمليات على الموقع المزيف، يمكن للمهاجم استبدال معلمات طلب المعاملة (مثل العنوان المستهدف والمبلغ) لسرقة الأموال.
الحالة 2: عملية تصيد معلومات العقد الذكي عبر MetaMask
في نموذج الموافقة في MetaMask ، يوجد عنصر واجهة مستخدم يعرض نوع المعاملة. يقرأ MetaMask بايت التوقيع لعقد الذكاء ويستخدم استعلام سجل الطرق على السلسلة للبحث عن اسم الطريقة المعني. ومع ذلك ، فإن هذا أيضًا يخلق عنصر واجهة مستخدم آخر يمكن أن يتحكم فيه المهاجم.
يمكن للمهاجمين إنشاء عقد ذكي للتصيد، مسجلين اسم طريقة مثل "SecurityUpdate" وغيرها من الأسماء الم misleading. عندما يقوم MetaMask بتحليل هذا العقد، سيظهر هذا الاسم للمستخدم في وضع الموافقة، مما يجعل طلب المعاملة يبدو وكأنه من "MetaMask" لـ "تحديث أمني".
نصائح للوقاية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات الواردة من الخارج غير موثوقة، ويجب عليهم اختيار المعلومات التي يتم عرضها للمستخدمين بعناية والتحقق من مشروعيتها.
يجب على المستخدم أن يكون حذرًا بشأن كل طلب交易未知 والتحقق بعناية من تفاصيل交易.
يجب على بروتوكولات مثل Wallet Connect أن تأخذ في الاعتبار التحقق المسبق من صحة وشرعية معلومات DApp.
يجب على تطبيق المحفظة اتخاذ تدابير وقائية لتصفية الكلمات المضللة التي قد تُستخدم في هجمات التصيد.
بالمجمل، قد يتمكن المهاجمون من التلاعب ببعض عناصر واجهة مستخدم المحفظة الخاصة بـ Web3.0، مما يخلق فخاخ تصيد تبدو حقيقية. يجب على المستخدمين والمطورين أن يكونوا حذرين معًا للحفاظ على أمن نظام Web3.0 البيئي.