Web3.0 Ví tiền mới kiểu tấn công lừa đảo: Lừa đảo theo mô hình
Gần đây, chúng tôi đã phát hiện ra một loại công nghệ lừa đảo mới, chuyên nhắm vào giai đoạn xác thực kết nối các ứng dụng phi tập trung (DApp). Chúng tôi đã đặt tên cho loại công nghệ lừa đảo mới này là "tấn công lừa đảo theo mô hình" (Modal Phishing).
Trong cuộc tấn công này, tội phạm có thể gửi thông tin giả mạo tới Ví tiền di động, giả mạo DApp hợp pháp. Bằng cách hiển thị thông tin gây hiểu lầm trong cửa sổ mô hình của Ví tiền, họ dụ dỗ người dùng phê duyệt giao dịch độc hại. Kỹ thuật lừa đảo này hiện đang được sử dụng rộng rãi. Chúng tôi đã liên lạc với các nhà phát triển thành phần liên quan, họ sẽ phát hành API xác thực mới để giảm thiểu rủi ro.
Mô hình câu cá là gì?
Trong nghiên cứu về an ninh của ví tiền di động, chúng tôi nhận thấy rằng một số yếu tố giao diện người dùng (UI) của ví Web3.0 có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo. Được gọi là lừa đảo theo kiểu modal, vì kẻ tấn công chủ yếu nhắm vào cửa sổ modal của ví tiền điện tử.
Modal (hoặc cửa sổ modal) là một yếu tố UI thường thấy trong ứng dụng di động, thường hiển thị ở đầu cửa sổ chính của ứng dụng. Thiết kế này giúp người dùng thao tác nhanh chóng, chẳng hạn như chấp thuận hoặc từ chối yêu cầu giao dịch của Ví tiền Web3.0.
Thiết kế mô hình ví tiền Web3.0 điển hình thường cung cấp thông tin cần thiết để người dùng kiểm tra, như yêu cầu chữ ký, cũng như nút chấp thuận hoặc từ chối.
Tuy nhiên, những phần tử giao diện người dùng này có thể bị kẻ tấn công kiểm soát, được sử dụng cho các cuộc tấn công lừa đảo kiểu mô-đun. Kẻ tấn công có thể thay đổi thông tin giao dịch, ngụy trang yêu cầu giao dịch thành những hoạt động có vẻ hợp pháp như "cập nhật an toàn", dụ dỗ người dùng chấp thuận.
Phân tích trường hợp tấn công
Trường hợp 1: Tấn công lừa đảo DApp thông qua Wallet Connect
Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3.0 sẽ hiển thị một cửa sổ mô-đun, trình bày thông tin siêu dữ liệu của yêu cầu ghép nối đến, bao gồm tên DApp, trang web, biểu tượng và mô tả.
Tuy nhiên, những thông tin này được cung cấp bởi DApp, Ví tiền không xác minh tính xác thực của chúng. Kẻ tấn công có thể giả mạo DApp hợp pháp, dụ dỗ người dùng kết nối. Trong quá trình ghép cặp, chỉ cần nạn nhân muốn thực hiện giao dịch trên trang web giả mạo, kẻ tấn công có thể thay thế các tham số yêu cầu giao dịch (như địa chỉ mục tiêu và số tiền) để đánh cắp tiền.
Trường hợp 2: Lừa đảo thông tin hợp đồng thông minh qua MetaMask
Trong mô hình phê duyệt của MetaMask, có một phần tử UI hiển thị loại giao dịch. MetaMask đọc byte chữ ký của hợp đồng thông minh và sử dụng bảng tra cứu phương thức trên chuỗi để truy vấn tên phương thức tương ứng. Tuy nhiên, điều này cũng tạo ra một phần tử UI khác có thể bị kẻ tấn công kiểm soát.
Kẻ tấn công có thể tạo ra một hợp đồng thông minh lừa đảo, đăng ký chữ ký phương thức với các tên gây nhầm lẫn như "SecurityUpdate". Khi MetaMask phân tích hợp đồng này, nó sẽ hiển thị tên này cho người dùng trong mô-đun phê duyệt, khiến yêu cầu giao dịch có vẻ như đến từ "MetaMask" của "cập nhật bảo mật".
Đề xuất phòng ngừa
Các nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy, cẩn thận chọn thông tin để hiển thị cho người dùng và xác minh tính hợp pháp của nó.
Người dùng nên giữ cảnh giác với mỗi yêu cầu giao dịch không xác định và kiểm tra kỹ lưỡng chi tiết giao dịch.
Các giao thức như Wallet Connect nên xem xét xác minh tính hợp lệ và hợp pháp của thông tin DApp trước.
Ứng dụng Ví tiền nên thực hiện các biện pháp phòng ngừa, lọc các từ ngữ gây hiểu lầm có thể được sử dụng cho các cuộc tấn công lừa đảo.
Tóm lại, một số yếu tố của giao diện người dùng ví tiền Web3.0 có thể bị kẻ tấn công thao túng, tạo ra những cái bẫy lừa đảo trông có vẻ thật. Người dùng và nhà phát triển nên nâng cao cảnh giác, cùng nhau bảo vệ an ninh của hệ sinh thái Web3.0.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
7
Đăng lại
Chia sẻ
Bình luận
0/400
TokenVelocityTrauma
· 07-29 14:12
Cái bẫy này quá ác, tôi đã sớm bị sa vào rồi.
Xem bản gốcTrả lời0
RektCoaster
· 07-27 23:37
Vì vậy ai là người chiến thắng lớn nhất... ngay cả thông tin ví tiền của tôi cũng có thể bị giả mạo
Xem bản gốcTrả lời0
consensus_failure
· 07-26 15:11
Cứng cáp thì cứng cáp, nhưng không thể giữ lại thì vẫn không giữ lại.
Xem bản gốcTrả lời0
ProxyCollector
· 07-26 15:11
Lại có bẫy mới sao? Đã đến lúc phải quản lý rồi!
Xem bản gốcTrả lời0
ExpectationFarmer
· 07-26 15:10
Đã bị lừa hai lần rồi, thật chính xác.
Xem bản gốcTrả lời0
OnChain_Detective
· 07-26 15:09
kẻ lừa đảo đang sáng tạo hơn bao giờ hết... hãy cẩn thận các degens
Cảnh giác với cuộc tấn công lừa đảo mới trên ví tiền di động Web3.0: Lừa đảo theo mô hình đang đến.
Web3.0 Ví tiền mới kiểu tấn công lừa đảo: Lừa đảo theo mô hình
Gần đây, chúng tôi đã phát hiện ra một loại công nghệ lừa đảo mới, chuyên nhắm vào giai đoạn xác thực kết nối các ứng dụng phi tập trung (DApp). Chúng tôi đã đặt tên cho loại công nghệ lừa đảo mới này là "tấn công lừa đảo theo mô hình" (Modal Phishing).
Trong cuộc tấn công này, tội phạm có thể gửi thông tin giả mạo tới Ví tiền di động, giả mạo DApp hợp pháp. Bằng cách hiển thị thông tin gây hiểu lầm trong cửa sổ mô hình của Ví tiền, họ dụ dỗ người dùng phê duyệt giao dịch độc hại. Kỹ thuật lừa đảo này hiện đang được sử dụng rộng rãi. Chúng tôi đã liên lạc với các nhà phát triển thành phần liên quan, họ sẽ phát hành API xác thực mới để giảm thiểu rủi ro.
Mô hình câu cá là gì?
Trong nghiên cứu về an ninh của ví tiền di động, chúng tôi nhận thấy rằng một số yếu tố giao diện người dùng (UI) của ví Web3.0 có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo. Được gọi là lừa đảo theo kiểu modal, vì kẻ tấn công chủ yếu nhắm vào cửa sổ modal của ví tiền điện tử.
Modal (hoặc cửa sổ modal) là một yếu tố UI thường thấy trong ứng dụng di động, thường hiển thị ở đầu cửa sổ chính của ứng dụng. Thiết kế này giúp người dùng thao tác nhanh chóng, chẳng hạn như chấp thuận hoặc từ chối yêu cầu giao dịch của Ví tiền Web3.0.
Thiết kế mô hình ví tiền Web3.0 điển hình thường cung cấp thông tin cần thiết để người dùng kiểm tra, như yêu cầu chữ ký, cũng như nút chấp thuận hoặc từ chối.
Tuy nhiên, những phần tử giao diện người dùng này có thể bị kẻ tấn công kiểm soát, được sử dụng cho các cuộc tấn công lừa đảo kiểu mô-đun. Kẻ tấn công có thể thay đổi thông tin giao dịch, ngụy trang yêu cầu giao dịch thành những hoạt động có vẻ hợp pháp như "cập nhật an toàn", dụ dỗ người dùng chấp thuận.
Phân tích trường hợp tấn công
Trường hợp 1: Tấn công lừa đảo DApp thông qua Wallet Connect
Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3.0 sẽ hiển thị một cửa sổ mô-đun, trình bày thông tin siêu dữ liệu của yêu cầu ghép nối đến, bao gồm tên DApp, trang web, biểu tượng và mô tả.
Tuy nhiên, những thông tin này được cung cấp bởi DApp, Ví tiền không xác minh tính xác thực của chúng. Kẻ tấn công có thể giả mạo DApp hợp pháp, dụ dỗ người dùng kết nối. Trong quá trình ghép cặp, chỉ cần nạn nhân muốn thực hiện giao dịch trên trang web giả mạo, kẻ tấn công có thể thay thế các tham số yêu cầu giao dịch (như địa chỉ mục tiêu và số tiền) để đánh cắp tiền.
Trường hợp 2: Lừa đảo thông tin hợp đồng thông minh qua MetaMask
Trong mô hình phê duyệt của MetaMask, có một phần tử UI hiển thị loại giao dịch. MetaMask đọc byte chữ ký của hợp đồng thông minh và sử dụng bảng tra cứu phương thức trên chuỗi để truy vấn tên phương thức tương ứng. Tuy nhiên, điều này cũng tạo ra một phần tử UI khác có thể bị kẻ tấn công kiểm soát.
Kẻ tấn công có thể tạo ra một hợp đồng thông minh lừa đảo, đăng ký chữ ký phương thức với các tên gây nhầm lẫn như "SecurityUpdate". Khi MetaMask phân tích hợp đồng này, nó sẽ hiển thị tên này cho người dùng trong mô-đun phê duyệt, khiến yêu cầu giao dịch có vẻ như đến từ "MetaMask" của "cập nhật bảo mật".
Đề xuất phòng ngừa
Các nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy, cẩn thận chọn thông tin để hiển thị cho người dùng và xác minh tính hợp pháp của nó.
Người dùng nên giữ cảnh giác với mỗi yêu cầu giao dịch không xác định và kiểm tra kỹ lưỡng chi tiết giao dịch.
Các giao thức như Wallet Connect nên xem xét xác minh tính hợp lệ và hợp pháp của thông tin DApp trước.
Ứng dụng Ví tiền nên thực hiện các biện pháp phòng ngừa, lọc các từ ngữ gây hiểu lầm có thể được sử dụng cho các cuộc tấn công lừa đảo.
Tóm lại, một số yếu tố của giao diện người dùng ví tiền Web3.0 có thể bị kẻ tấn công thao túng, tạo ra những cái bẫy lừa đảo trông có vẻ thật. Người dùng và nhà phát triển nên nâng cao cảnh giác, cùng nhau bảo vệ an ninh của hệ sinh thái Web3.0.