Веб 3.0 мобильный Кошелек новые типы рисков безопасности: модальные фишинговые атаки
Недавно исследователи безопасности обнаружили новый тип фишинга, нацеленного на мобильные кошельки Веб 3.0, названный "Модальная фишинг-атака" (Modal Phishing). Этот метод атаки использует уязвимость дизайна модального окна мобильного кошелька, вводя пользователей в заблуждение, чтобы они подтвердили вредоносные транзакции.
Принцип модального фишинга
Модальные фишинг-атаки в основном нацелены на модальные окна, которые часто используются в приложениях криптовалютных Кошельков. Эти модальные окна обычно предназначены для отображения информации о запросах на транзакции и получения одобрения от пользователей. Злоумышленники могут манипулировать некоторыми элементами интерфейса в этих окнах, заставляя их отображать ложную или вводящую в заблуждение информацию.
Конкретно, злоумышленник может контролировать следующие элементы интерфейса:
Информация о DApp: включает название, значок, адрес сайта и т.д.
Информация о смарт-контракте: такие как название функции и т.д.
Типичные случаи атак
1. Используйте протокол Wallet Connect для фишинга DApp
Wallet Connect — это широко используемый протокол для подключения пользовательского Кошелек к DApp. Исследователи обнаружили, что в процессе сопряжения приложение Кошелек напрямую отображает метаинформацию, предоставленную DApp, не проверяя её. Злоумышленники могут использовать это, чтобы подделать информацию о известных DApp и обмануть пользователей.
Например, злоумышленник может создать поддельное DApp Uniswap и подключиться к кошельку Metamask пользователя через Wallet Connect. В процессе подключения кошелек будет отображать информацию о Uniswap, которая кажется законной, включая название, веб-сайт и значок. Как только пользователь одобряет подключение, злоумышленник может отправить вредоносный запрос на транзакцию.
2. Фишинг информации о смарт-контрактах через Metamask
Кошельки, такие как Metamask, отображают название функции смарт-контракта на интерфейсе одобрения транзакции. Злоумышленники могут зарегистрировать функции смарт-контрактов с вводящими в заблуждение названиями, такими как "SecurityUpdate", и использовать эти функции в запросах на транзакции. Когда пользователь видит казалось бы официальный запрос на обновление, он может ошибочно принять это за легитимную операцию и одобрить транзакцию.
Рекомендации по предотвращению
Для разработчиков кошельков:
Всегда рассматривайте входящие внешние данные как ненадежные
Тщательно выбирайте информацию, которую вы хотите показать пользователям, и проверяйте ее законность.
Рассмотрите возможность внедрения дополнительных механизмов проверки, таких как проверка информации о DApp.
Для пользователей:
Будьте осторожны с каждым неизвестным запросом на транзакцию
Тщательно проверьте детали сделки, не принимайте решения только на основе информации, отображаемой в интерфейсе.
Если у вас есть вопросы, пожалуйста, проверьте информацию через официальные каналы.
В заключение, модальные фишинговые атаки выявляют потенциальные уязвимости интерфейса пользователя и проверки информации в кошельках Веб 3.0. С учетом постоянной эволюции таких методов атак, разработчики кошельков и пользователи должны повысить безопасность и совместно поддерживать безопасность экосистемы Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
5
Поделиться
комментарий
0/400
NFT_Therapy
· 13ч назад
别 смарт-контракты 了 还是 run 吧
Посмотреть ОригиналОтветить0
SchrodingerAirdrop
· 07-23 16:09
坏了啦 позиции в шорт не решаются открывать
Посмотреть ОригиналОтветить0
ValidatorVibes
· 07-23 16:07
еще один день, еще одна уязвимость... когда же разработчики научатся правильно валидировать модальные окна, смх
Посмотреть ОригиналОтветить0
NFTHoarder
· 07-23 16:07
Не пытайся меня ловить, этот негодяй даже хочет обмануть мой nft
Посмотреть ОригиналОтветить0
SighingCashier
· 07-23 16:02
мир криптовалют старый мошенник снова придумал новый способ обмана
Новые угрозы для Web3 мобильного кошелька: подробности о модальных фишинговых атаках и их предотвращении
Веб 3.0 мобильный Кошелек новые типы рисков безопасности: модальные фишинговые атаки
Недавно исследователи безопасности обнаружили новый тип фишинга, нацеленного на мобильные кошельки Веб 3.0, названный "Модальная фишинг-атака" (Modal Phishing). Этот метод атаки использует уязвимость дизайна модального окна мобильного кошелька, вводя пользователей в заблуждение, чтобы они подтвердили вредоносные транзакции.
Принцип модального фишинга
Модальные фишинг-атаки в основном нацелены на модальные окна, которые часто используются в приложениях криптовалютных Кошельков. Эти модальные окна обычно предназначены для отображения информации о запросах на транзакции и получения одобрения от пользователей. Злоумышленники могут манипулировать некоторыми элементами интерфейса в этих окнах, заставляя их отображать ложную или вводящую в заблуждение информацию.
Конкретно, злоумышленник может контролировать следующие элементы интерфейса:
Типичные случаи атак
1. Используйте протокол Wallet Connect для фишинга DApp
Wallet Connect — это широко используемый протокол для подключения пользовательского Кошелек к DApp. Исследователи обнаружили, что в процессе сопряжения приложение Кошелек напрямую отображает метаинформацию, предоставленную DApp, не проверяя её. Злоумышленники могут использовать это, чтобы подделать информацию о известных DApp и обмануть пользователей.
Например, злоумышленник может создать поддельное DApp Uniswap и подключиться к кошельку Metamask пользователя через Wallet Connect. В процессе подключения кошелек будет отображать информацию о Uniswap, которая кажется законной, включая название, веб-сайт и значок. Как только пользователь одобряет подключение, злоумышленник может отправить вредоносный запрос на транзакцию.
2. Фишинг информации о смарт-контрактах через Metamask
Кошельки, такие как Metamask, отображают название функции смарт-контракта на интерфейсе одобрения транзакции. Злоумышленники могут зарегистрировать функции смарт-контрактов с вводящими в заблуждение названиями, такими как "SecurityUpdate", и использовать эти функции в запросах на транзакции. Когда пользователь видит казалось бы официальный запрос на обновление, он может ошибочно принять это за легитимную операцию и одобрить транзакцию.
Рекомендации по предотвращению
Для разработчиков кошельков:
Для пользователей:
В заключение, модальные фишинговые атаки выявляют потенциальные уязвимости интерфейса пользователя и проверки информации в кошельках Веб 3.0. С учетом постоянной эволюции таких методов атак, разработчики кошельков и пользователи должны повысить безопасность и совместно поддерживать безопасность экосистемы Web3.