Веб 3.0 мобильный кошелек новый тип фишинга: модальный фишинг
В последнее время мы обнаружили новый тип фишинговой технологии, специально нацеленной на этап аутентификации, связанный с подключением к децентрализованным приложениям (DApp). Мы назвали эту новую фишинговую технологию "модальная фишинг-атака" (Modal Phishing).
В этой атаке злоумышленники могут отправлять поддельную информацию в мобильный Кошелек, выдавая себя за легитимные DApp. Показывая вводящую в заблуждение информацию в модальном окне Кошелька, они вынуждают пользователей одобрять вредоносные транзакции. Эта техника фишинга в настоящее время широко используется. Мы уже связались с разработчиками соответствующих компонентов, и они выпустят новый API верификации для снижения рисков.
Что такое модальное фишинг?
В ходе исследования безопасности мобильных Кошельков мы обратили внимание на то, что некоторые элементы пользовательского интерфейса (UI) Веб 3.0 Кошельков могут контролироваться злоумышленниками для проведения фишинговых атак. Это называется модальным фишингом, потому что злоумышленники в основном нацеливаются на модальные окна криптокошельков.
Модальное окно (или модальное окно) – это часто используемый элемент интерфейса в мобильных приложениях, который обычно отображается в верхней части главного окна приложения. Такой дизайн упрощает пользователю быстрое выполнение действий, таких как одобрение или отклонение запросов на транзакции Веб 3.0 Кошелька.
Типичный дизайн модального окна кошелька Веб 3.0 обычно предоставляет необходимую информацию для проверки пользователем, такую как запрос на подпись, а также кнопки для одобрения или отказа.
Однако эти элементы пользовательского интерфейса могут быть контролируемы злоумышленниками и использоваться для модальных фишинговых атак. Злоумышленники могут изменять детали транзакции, маскируя запросы на транзакции под "безопасные обновления" и другие, на первый взгляд, законные операции, чтобы заставить пользователей одобрить их.
Анализ случаев атак
Пример 1: Фишинг-атака на DApp через Кошелек Connect
Wallet Connect является популярным открытым протоколом, который позволяет подключать пользовательские Кошельки к DApp через QR-код или глубокую ссылку. В процессе сопряжения Веб 3.0 кошелек отображает модальное окно, показывающее метаинформацию о входящем запросе на сопряжение, включая название DApp, его веб-сайт, иконку и описание.
Однако эта информация предоставляется DApp, и Кошелек не проверяет ее достоверность. Злоумышленники могут выдавать себя за легитимные DApp, обманом заставляя пользователей подключаться. В процессе подключения, как только жертва захочет совершить операции на фальшивом сайте, злоумышленник может заменить параметры запроса транзакции (такие как адрес получателя и сумма), чтобы украсть средства.
Пример 2: Фишинг информации о смарт-контрактах через MetaMask
В модальном окне одобрения MetaMask есть элемент пользовательского интерфейса, который отображает тип транзакции. MetaMask считывает байты подписи смарт-контракта и использует таблицу методов на блокчейне для запроса соответствующего имени метода. Однако это также создает еще один элемент пользовательского интерфейса, который может находиться под контролем злоумышленников.
Нападающий может создать фишинговый смарт-контракт, зарегистрировав подпись метода под вводящими в заблуждение именами, такими как "SecurityUpdate". Когда MetaMask обрабатывает этот контракт, он будет показывать это имя пользователю в модальном окне одобрения, заставляя запрос на транзакцию казаться исходящим от "MetaMask" как "обновление безопасности".
Рекомендации по предотвращению
Разработчики приложений для Кошелька всегда должны предполагать, что входящие данные ненадежны, тщательно выбирать информацию, отображаемую пользователю, и проверять ее законность.
Пользователь должен соблюдать осторожность с каждым неизвестным запросом на транзакцию и тщательно проверять детали транзакции.
Протоколы, такие как Wallet Connect, должны учитывать предварительную проверку действительности и легитимности информации DApp.
Приложения для Кошелька должны принимать меры предосторожности, фильтруя вводящие в заблуждение слова, которые могут быть использованы для фишинга.
В общем, некоторые элементы пользовательского интерфейса Веб 3.0 Кошелька могут быть подвержены манипуляциям со стороны злоумышленников, создавая кажущиеся настоящими фишинговые ловушки. Пользователи и разработчики должны быть настороже и совместно поддерживать безопасность экосистемы Веб 3.0.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
7
Репост
Поделиться
комментарий
0/400
TokenVelocityTrauma
· 07-29 14:12
Эта ловушка слишком жестока, я уже попался в нее.
Посмотреть ОригиналОтветить0
RektCoaster
· 07-27 23:37
Так кто же главный победитель... даже данные моего Кошелька могут быть подделаны
Посмотреть ОригиналОтветить0
consensus_failure
· 07-26 15:11
Хардкор есть хардкор, то, что не держится, все равно не удержится.
Посмотреть ОригиналОтветить0
ProxyCollector
· 07-26 15:11
Опять новые ловушки? Давно пора с этим разобраться!
Посмотреть ОригиналОтветить0
ExpectationFarmer
· 07-26 15:10
Уже дважды попался на уловки, действительно точно.
Посмотреть ОригиналОтветить0
OnChain_Detective
· 07-26 15:09
мошенники становятся очень креативными... не теряйте бдительность, дегены
Будьте осторожны: новые фишинговые атаки на мобильные Кошельки Web3.0 — модальные фишинговые атаки.
Веб 3.0 мобильный кошелек новый тип фишинга: модальный фишинг
В последнее время мы обнаружили новый тип фишинговой технологии, специально нацеленной на этап аутентификации, связанный с подключением к децентрализованным приложениям (DApp). Мы назвали эту новую фишинговую технологию "модальная фишинг-атака" (Modal Phishing).
В этой атаке злоумышленники могут отправлять поддельную информацию в мобильный Кошелек, выдавая себя за легитимные DApp. Показывая вводящую в заблуждение информацию в модальном окне Кошелька, они вынуждают пользователей одобрять вредоносные транзакции. Эта техника фишинга в настоящее время широко используется. Мы уже связались с разработчиками соответствующих компонентов, и они выпустят новый API верификации для снижения рисков.
Что такое модальное фишинг?
В ходе исследования безопасности мобильных Кошельков мы обратили внимание на то, что некоторые элементы пользовательского интерфейса (UI) Веб 3.0 Кошельков могут контролироваться злоумышленниками для проведения фишинговых атак. Это называется модальным фишингом, потому что злоумышленники в основном нацеливаются на модальные окна криптокошельков.
Модальное окно (или модальное окно) – это часто используемый элемент интерфейса в мобильных приложениях, который обычно отображается в верхней части главного окна приложения. Такой дизайн упрощает пользователю быстрое выполнение действий, таких как одобрение или отклонение запросов на транзакции Веб 3.0 Кошелька.
Типичный дизайн модального окна кошелька Веб 3.0 обычно предоставляет необходимую информацию для проверки пользователем, такую как запрос на подпись, а также кнопки для одобрения или отказа.
Однако эти элементы пользовательского интерфейса могут быть контролируемы злоумышленниками и использоваться для модальных фишинговых атак. Злоумышленники могут изменять детали транзакции, маскируя запросы на транзакции под "безопасные обновления" и другие, на первый взгляд, законные операции, чтобы заставить пользователей одобрить их.
Анализ случаев атак
Пример 1: Фишинг-атака на DApp через Кошелек Connect
Wallet Connect является популярным открытым протоколом, который позволяет подключать пользовательские Кошельки к DApp через QR-код или глубокую ссылку. В процессе сопряжения Веб 3.0 кошелек отображает модальное окно, показывающее метаинформацию о входящем запросе на сопряжение, включая название DApp, его веб-сайт, иконку и описание.
Однако эта информация предоставляется DApp, и Кошелек не проверяет ее достоверность. Злоумышленники могут выдавать себя за легитимные DApp, обманом заставляя пользователей подключаться. В процессе подключения, как только жертва захочет совершить операции на фальшивом сайте, злоумышленник может заменить параметры запроса транзакции (такие как адрес получателя и сумма), чтобы украсть средства.
Пример 2: Фишинг информации о смарт-контрактах через MetaMask
В модальном окне одобрения MetaMask есть элемент пользовательского интерфейса, который отображает тип транзакции. MetaMask считывает байты подписи смарт-контракта и использует таблицу методов на блокчейне для запроса соответствующего имени метода. Однако это также создает еще один элемент пользовательского интерфейса, который может находиться под контролем злоумышленников.
Нападающий может создать фишинговый смарт-контракт, зарегистрировав подпись метода под вводящими в заблуждение именами, такими как "SecurityUpdate". Когда MetaMask обрабатывает этот контракт, он будет показывать это имя пользователю в модальном окне одобрения, заставляя запрос на транзакцию казаться исходящим от "MetaMask" как "обновление безопасности".
Рекомендации по предотвращению
Разработчики приложений для Кошелька всегда должны предполагать, что входящие данные ненадежны, тщательно выбирать информацию, отображаемую пользователю, и проверять ее законность.
Пользователь должен соблюдать осторожность с каждым неизвестным запросом на транзакцию и тщательно проверять детали транзакции.
Протоколы, такие как Wallet Connect, должны учитывать предварительную проверку действительности и легитимности информации DApp.
Приложения для Кошелька должны принимать меры предосторожности, фильтруя вводящие в заблуждение слова, которые могут быть использованы для фишинга.
В общем, некоторые элементы пользовательского интерфейса Веб 3.0 Кошелька могут быть подвержены манипуляциям со стороны злоумышленников, создавая кажущиеся настоящими фишинговые ловушки. Пользователи и разработчики должны быть настороже и совместно поддерживать безопасность экосистемы Веб 3.0.