مؤخراً، اكتشف باحثو الأمن تقنية جديدة للاحتيال تستهدف المحفظة المحمولة في Web3.0، وتم تسميتها بـ "هجوم الاحتيال النمطي" (Modal Phishing). تستغل هذه الطريقة من الهجوم ثغرة تصميم نافذة النمط في المحفظة المحمولة، من خلال عرض معلومات مضللة لخداع المستخدمين للموافقة على معاملات خبيثة.
مبدأ هجوم الصيد الاحتيالي النمطي
تستهدف هجمات التصيد الاحتيالي النمطي بشكل رئيسي النوافذ النمطية المستخدمة في تطبيقات المحفظة للعملات المشفرة. تُستخدم هذه النوافذ عادةً لعرض معلومات طلبات المعاملات والحصول على موافقة المستخدم. يمكن للمهاجمين التلاعب ببعض عناصر واجهة المستخدم في هذه النوافذ، مما يجعلها تعرض معلومات زائفة أو مضللة.
بشكل محدد، يمكن للمهاجم السيطرة على العناصر التالية في واجهة المستخدم:
معلومات DApp: تشمل الاسم، الرمز، عنوان الموقع، إلخ
معلومات العقد الذكي: مثل اسم الوظيفة وغيرها
حالات الهجوم النموذجية
1. استخدام بروتوكول Wallet Connect لصيد DApp
Wallet Connect هو بروتوكول مستخدم على نطاق واسع لربط المحفظة الخاصة بالمستخدم مع DApp. اكتشف الباحثون أنه خلال عملية الاقتران، تقوم تطبيقات المحفظة بعرض المعلومات الوصفية التي تقدمها DApp مباشرة دون التحقق منها. يمكن للمهاجمين استغلال ذلك لتزوير معلومات DApp معروفة لخداع المستخدمين.
على سبيل المثال، يمكن للمهاجم إنشاء تطبيق DApp مزيف لـ Uniswap، والاتصال بمحفظة Metamask الخاصة بالمستخدم من خلال Wallet Connect. خلال عملية الاقتران، ستظهر المحفظة معلومات Uniswap التي تبدو قانونية، بما في ذلك الاسم، والرابط، والرمز. بمجرد أن يوافق المستخدم على الاتصال، يمكن للمهاجم إرسال طلبات معاملات خبيثة.
2. من خلال Metamask لاصطياد معلومات العقد الذكي
تظهر محفظة مثل Metamask أسماء وظائف العقود الذكية في واجهة الموافقة على المعاملات. يمكن للمهاجمين تسجيل وظائف عقود ذكية بأسماء مضللة، مثل "SecurityUpdate"، واستخدام هذه الوظائف في طلب المعاملات. عندما يرى المستخدم طلب تحديث يبدو رسميًا، قد يعتقد خطأً أن هذه عملية قانونية ويوافق على المعاملة.
نصائح للوقاية
بالنسبة لمطوري المحفظة:
اعتبر دائمًا البيانات الواردة من الخارج غير موثوقة
اختر بعناية المعلومات التي تعرضها للمستخدمين، وتحقق من قانونيتها
النظر في تنفيذ آليات تحقق إضافية، مثل التحقق من معلومات DApp
بالنسبة للمستخدمين:
كن حذرًا بشأن كل طلب معاملة غير معروف
تحقق بعناية من تفاصيل الصفقة، لا تقم باتخاذ القرارات فقط بناءً على المعلومات المعروضة في واجهة المستخدم
إذا كانت لديك أي أسئلة، يرجى التحقق من المعلومات من خلال القنوات الرسمية
بشكل عام، تكشف هجمات التصيد الاحتيالي المتعددة عن الثغرات المحتملة في تصميم واجهة المستخدم والتحقق من المعلومات في المحفظة الخاصة بـ Web3.0. مع تطور أساليب الهجوم هذه باستمرار، يحتاج مطورو المحافظ والمستخدمون إلى تعزيز الوعي بالأمان للحفاظ بشكل مشترك على أمان نظام Web3.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
5
مشاركة
تعليق
0/400
NFT_Therapy
· منذ 11 س
别 العقود الذكية 了 还是run吧
شاهد النسخة الأصليةرد0
SchrodingerAirdrop
· 07-23 16:09
لقد حدث شيء سيء، المراكز القصيرة لا تجرؤ على الفتح.
شاهد النسخة الأصليةرد0
ValidatorVibes
· 07-23 16:07
يوم آخر، استغلال آخر... متى سيتعلم المطورون التحقق الصحيح من النماذج smh
شاهد النسخة الأصليةرد0
NFTHoarder
· 07-23 16:07
لا تفكر في فخّي، هذا الشرير لا يزال يريد خداعي بnft الخاص بي
تهديدات جديدة لمحافظ الويب 3 المتنقلة: شرح مفصل لهجمات الاصطناعية وطرق الوقاية منها
Web3.0 المحفظة المحمولة المخاطر الأمنية الجديدة: هجمات التصيد الاحتيالي النموذجية
مؤخراً، اكتشف باحثو الأمن تقنية جديدة للاحتيال تستهدف المحفظة المحمولة في Web3.0، وتم تسميتها بـ "هجوم الاحتيال النمطي" (Modal Phishing). تستغل هذه الطريقة من الهجوم ثغرة تصميم نافذة النمط في المحفظة المحمولة، من خلال عرض معلومات مضللة لخداع المستخدمين للموافقة على معاملات خبيثة.
مبدأ هجوم الصيد الاحتيالي النمطي
تستهدف هجمات التصيد الاحتيالي النمطي بشكل رئيسي النوافذ النمطية المستخدمة في تطبيقات المحفظة للعملات المشفرة. تُستخدم هذه النوافذ عادةً لعرض معلومات طلبات المعاملات والحصول على موافقة المستخدم. يمكن للمهاجمين التلاعب ببعض عناصر واجهة المستخدم في هذه النوافذ، مما يجعلها تعرض معلومات زائفة أو مضللة.
بشكل محدد، يمكن للمهاجم السيطرة على العناصر التالية في واجهة المستخدم:
حالات الهجوم النموذجية
1. استخدام بروتوكول Wallet Connect لصيد DApp
Wallet Connect هو بروتوكول مستخدم على نطاق واسع لربط المحفظة الخاصة بالمستخدم مع DApp. اكتشف الباحثون أنه خلال عملية الاقتران، تقوم تطبيقات المحفظة بعرض المعلومات الوصفية التي تقدمها DApp مباشرة دون التحقق منها. يمكن للمهاجمين استغلال ذلك لتزوير معلومات DApp معروفة لخداع المستخدمين.
على سبيل المثال، يمكن للمهاجم إنشاء تطبيق DApp مزيف لـ Uniswap، والاتصال بمحفظة Metamask الخاصة بالمستخدم من خلال Wallet Connect. خلال عملية الاقتران، ستظهر المحفظة معلومات Uniswap التي تبدو قانونية، بما في ذلك الاسم، والرابط، والرمز. بمجرد أن يوافق المستخدم على الاتصال، يمكن للمهاجم إرسال طلبات معاملات خبيثة.
2. من خلال Metamask لاصطياد معلومات العقد الذكي
تظهر محفظة مثل Metamask أسماء وظائف العقود الذكية في واجهة الموافقة على المعاملات. يمكن للمهاجمين تسجيل وظائف عقود ذكية بأسماء مضللة، مثل "SecurityUpdate"، واستخدام هذه الوظائف في طلب المعاملات. عندما يرى المستخدم طلب تحديث يبدو رسميًا، قد يعتقد خطأً أن هذه عملية قانونية ويوافق على المعاملة.
نصائح للوقاية
بالنسبة لمطوري المحفظة:
بالنسبة للمستخدمين:
بشكل عام، تكشف هجمات التصيد الاحتيالي المتعددة عن الثغرات المحتملة في تصميم واجهة المستخدم والتحقق من المعلومات في المحفظة الخاصة بـ Web3.0. مع تطور أساليب الهجوم هذه باستمرار، يحتاج مطورو المحافظ والمستخدمون إلى تعزيز الوعي بالأمان للحفاظ بشكل مشترك على أمان نظام Web3.