Risiko Keamanan Baru pada Dompet Mobile Web3.0: Serangan Phishing Modus
Baru-baru ini, peneliti keamanan menemukan teknik phishing baru yang ditargetkan pada dompet seluler Web3.0, yang dinamakan "serangan phishing modal" (Modal Phishing). Metode serangan ini memanfaatkan celah desain jendela modal pada dompet seluler, dengan menampilkan informasi yang menyesatkan untuk menjebak pengguna agar menyetujui transaksi jahat.
Prinsip Serangan Memancing Modus
Serangan phishing modal terutama menargetkan jendela modal yang umum digunakan dalam aplikasi dompet cryptocurrency. Jendela modal ini biasanya digunakan untuk menampilkan informasi permintaan transaksi dan mendapatkan persetujuan pengguna. Penyerang dapat memanipulasi beberapa elemen antarmuka pengguna di jendela ini sehingga menampilkan informasi yang palsu atau menyesatkan.
Secara khusus, penyerang dapat mengendalikan elemen UI berikut:
Informasi DApp: termasuk nama, ikon, alamat situs web, dll.
Informasi kontrak pintar: seperti nama fungsi dan lain-lain
Kasus Serangan Khas
1. Memanfaatkan protokol Wallet Connect untuk memancing DApp
Wallet Connect adalah protokol yang banyak digunakan untuk menghubungkan dompet pengguna dengan DApp. Peneliti menemukan bahwa selama proses pem配配,aplikasi dompet akan langsung menampilkan metadata yang disediakan oleh DApp tanpa memverifikasinya. Penyerang dapat memanfaatkan hal ini untuk memalsukan informasi DApp terkenal guna menipu pengguna.
Misalnya, penyerang dapat membuat DApp Uniswap palsu dan terhubung dengan dompet Metamask pengguna melalui Wallet Connect. Selama proses pemasangan, dompet akan menampilkan informasi Uniswap yang tampak sah, termasuk nama, situs web, dan ikon. Setelah pengguna menyetujui koneksi, penyerang dapat mengirim permintaan transaksi berbahaya.
2. Melalui Metamask untuk memancing informasi kontrak pintar
Dompet seperti Metamask akan menampilkan nama fungsi kontrak pintar di antarmuka persetujuan transaksi. Penyerang dapat mendaftarkan fungsi kontrak pintar dengan nama yang menyesatkan, seperti "SecurityUpdate", dan menggunakan fungsi-fungsi ini dalam permintaan transaksi. Ketika pengguna melihat permintaan pembaruan yang tampak resmi, mereka mungkin salah mengira ini adalah operasi yang sah dan menyetujui transaksi.
Saran Pencegahan
Untuk pengembang Dompet:
Selalu anggap data yang diterima dari luar sebagai tidak dapat dipercaya
Pilih dengan cermat informasi yang akan ditampilkan kepada pengguna, dan verifikasi legalitasnya.
Pertimbangkan untuk menerapkan mekanisme verifikasi tambahan, seperti memverifikasi informasi DApp
Untuk pengguna:
Waspadai setiap permintaan transaksi yang tidak dikenal
Periksa dengan teliti rincian transaksi, jangan hanya membuat keputusan berdasarkan informasi yang ditampilkan di UI.
Jika ada pertanyaan, silakan verifikasi informasi melalui saluran resmi.
Singkatnya, serangan phishing modal mengungkapkan potensi kerentanan dalam desain antarmuka pengguna dan verifikasi informasi pada dompet Web3.0. Seiring dengan evolusi terus-menerus dari jenis serangan ini, pengembang dompet dan pengguna perlu meningkatkan kesadaran keamanan untuk bersama-sama menjaga keamanan ekosistem Web3.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
5
Bagikan
Komentar
0/400
NFT_Therapy
· 11jam yang lalu
Jangan jadi smart contract, lebih baik run saja.
Lihat AsliBalas0
SchrodingerAirdrop
· 07-23 16:09
Bermasalah, posisi short tidak berani dibuka.
Lihat AsliBalas0
ValidatorVibes
· 07-23 16:07
hari lain, eksploitasi lain... kapan para pengembang akan belajar validasi modal yang tepat smh
Lihat AsliBalas0
NFTHoarder
· 07-23 16:07
Jangan coba jebakan saya, penjahat ini bahkan masih ingin menipu nft saya.
Ancaman baru dompet Web3: Penjelasan dan pencegahan serangan phishing modal
Risiko Keamanan Baru pada Dompet Mobile Web3.0: Serangan Phishing Modus
Baru-baru ini, peneliti keamanan menemukan teknik phishing baru yang ditargetkan pada dompet seluler Web3.0, yang dinamakan "serangan phishing modal" (Modal Phishing). Metode serangan ini memanfaatkan celah desain jendela modal pada dompet seluler, dengan menampilkan informasi yang menyesatkan untuk menjebak pengguna agar menyetujui transaksi jahat.
Prinsip Serangan Memancing Modus
Serangan phishing modal terutama menargetkan jendela modal yang umum digunakan dalam aplikasi dompet cryptocurrency. Jendela modal ini biasanya digunakan untuk menampilkan informasi permintaan transaksi dan mendapatkan persetujuan pengguna. Penyerang dapat memanipulasi beberapa elemen antarmuka pengguna di jendela ini sehingga menampilkan informasi yang palsu atau menyesatkan.
Secara khusus, penyerang dapat mengendalikan elemen UI berikut:
Kasus Serangan Khas
1. Memanfaatkan protokol Wallet Connect untuk memancing DApp
Wallet Connect adalah protokol yang banyak digunakan untuk menghubungkan dompet pengguna dengan DApp. Peneliti menemukan bahwa selama proses pem配配,aplikasi dompet akan langsung menampilkan metadata yang disediakan oleh DApp tanpa memverifikasinya. Penyerang dapat memanfaatkan hal ini untuk memalsukan informasi DApp terkenal guna menipu pengguna.
Misalnya, penyerang dapat membuat DApp Uniswap palsu dan terhubung dengan dompet Metamask pengguna melalui Wallet Connect. Selama proses pemasangan, dompet akan menampilkan informasi Uniswap yang tampak sah, termasuk nama, situs web, dan ikon. Setelah pengguna menyetujui koneksi, penyerang dapat mengirim permintaan transaksi berbahaya.
2. Melalui Metamask untuk memancing informasi kontrak pintar
Dompet seperti Metamask akan menampilkan nama fungsi kontrak pintar di antarmuka persetujuan transaksi. Penyerang dapat mendaftarkan fungsi kontrak pintar dengan nama yang menyesatkan, seperti "SecurityUpdate", dan menggunakan fungsi-fungsi ini dalam permintaan transaksi. Ketika pengguna melihat permintaan pembaruan yang tampak resmi, mereka mungkin salah mengira ini adalah operasi yang sah dan menyetujui transaksi.
Saran Pencegahan
Untuk pengembang Dompet:
Untuk pengguna:
Singkatnya, serangan phishing modal mengungkapkan potensi kerentanan dalam desain antarmuka pengguna dan verifikasi informasi pada dompet Web3.0. Seiring dengan evolusi terus-menerus dari jenis serangan ini, pengembang dompet dan pengguna perlu meningkatkan kesadaran keamanan untuk bersama-sama menjaga keamanan ekosistem Web3.