ウェブ3.0モバイルウォレット新型安全リスク：モーダルフィッシング攻撃

最近、セキュリティ研究者はウェブ3.0モバイルウォレットに対する新しいフィッシング技術を発見しました。それは「モーダルフィッシング攻撃」と名付けられています。この攻撃方法は、モバイルウォレットのモーダルウィンドウデザインの脆弱性を利用し、誤解を招く情報を表示することでユーザーに悪意のある取引を承認させるよう誘導します。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

モダリティフィッシング攻撃の原理

モーダルフィッシング攻撃は、主に暗号通貨ウォレットアプリケーションで一般的に使用されるモーダルウィンドウに対して行われます。これらのモーダルウィンドウは通常、取引要求情報を表示し、ユーザーの承認を得るために使用されます。攻撃者は、これらのウィンドウ内の特定のユーザーインターフェース要素を操作して、虚偽または誤解を招く情報を表示させることができます。

具体的に言うと、攻撃者は以下のUI要素を制御できます：

1. DApp情報：名前、アイコン、ウェブサイトアドレスなど
2. スマートコントラクト情報：関数名など

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

典型的な攻撃事例

1. Wallet Connectプロトコルを利用したDAppフィッシング

ウォレットコネクトは、ユーザーのウォレットとDAppを接続するために広く使用されているプロトコルです。研究者たちは、ペアリングプロセス中にウォレットアプリがDAppが提供するメタ情報を直接表示し、それを検証しないことを発見しました。攻撃者はこれを利用して、著名なDAppの情報を偽造し、ユーザーを欺くことができます。

例えば、攻撃者は偽のUniswap DAppを作成し、Wallet Connectを通じてユーザーのMetamaskウォレットに接続することができます。ペアリング中に、ウォレットは見た目上合法なUniswap情報、名前、ウェブサイト、アイコンを表示します。ユーザーが接続を承認すると、攻撃者は悪意のある取引リクエストを送信できます。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

2. Metamaskを通じてスマートコントラクト情報フィッシング

Metamaskなどのウォレットは、取引承認インターフェースでスマートコントラクトの関数名を表示します。攻撃者は、"SecurityUpdate"のような誤解を招く名称を持つスマートコントラクト関数を登録し、取引リクエストでこれらの関数を使用します。ユーザーが一見公式の更新リクエストを見ると、これが正当な操作であると誤解し、取引を承認してしまう可能性があります。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング

予防に関する推奨事項

ウォレット開発者への：

1. 常に外部から受け取ったデータを信頼できないものと見なす
2. ユーザーに表示する情報を慎重に選択し、その合法性を確認する
3. DApp情報の検証のような追加の検証メカニズムの実装を検討する

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

ユーザー向け：

1. 未知の取引リクエストに対して警戒を怠らない
2. 取引の詳細を注意深く確認し、UIに表示された情報だけをもとに決定しないでください。
3. 疑問がある場合は、公式のチャネルを通じて情報を確認してください。

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

総じて、モーダルフィッシング攻撃はウェブ3.0ウォレットにおけるユーザーインターフェースデザインと情報検証の潜在的な脆弱性を明らかにしました。このような攻撃手法の進化に伴い、ウォレット開発者とユーザーは共にセキュリティ意識を高め、ウェブ3エコシステムの安全を維持する必要があります。

! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃

! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング