Rủi ro an toàn mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình
Gần đây, các nhà nghiên cứu an ninh đã phát hiện một loại kỹ thuật lừa đảo mới nhắm vào Ví tiền Web3.0, được gọi là "tấn công lừa đảo theo mô hình" (Modal Phishing). Phương pháp tấn công này lợi dụng lỗ hổng thiết kế cửa sổ mô hình của Ví tiền di động, bằng cách hiển thị thông tin gây hiểu lầm để lừa người dùng phê duyệt giao dịch độc hại.
Nguyên lý của cuộc tấn công lừa đảo mô-đun
Các cuộc tấn công lừa đảo mô hình chủ yếu nhắm vào các cửa sổ mô hình thường được sử dụng trong ứng dụng ví tiền tiền điện tử. Những cửa sổ mô hình này thường được sử dụng để hiển thị thông tin yêu cầu giao dịch và nhận sự chấp thuận của người dùng. Kẻ tấn công có thể thao tác một số yếu tố giao diện người dùng trong những cửa sổ này để làm cho chúng hiển thị thông tin giả mạo hoặc gây nhầm lẫn.
Cụ thể, kẻ tấn công có thể kiểm soát các yếu tố UI sau:
Thông tin DApp: bao gồm tên, biểu tượng, địa chỉ website, v.v.
Thông tin hợp đồng thông minh: như tên hàm v.v.
Các trường hợp tấn công điển hình
1. Sử dụng giao thức Wallet Connect để lừa đảo DApp
Wallet Connect là một giao thức được sử dụng rộng rãi để kết nối ví tiền của người dùng với DApp. Các nhà nghiên cứu phát hiện ra rằng, trong quá trình ghép nối, ứng dụng ví tiền sẽ trực tiếp hiển thị thông tin meta do DApp cung cấp mà không xác minh. Kẻ tấn công có thể lợi dụng điều này để giả mạo thông tin của DApp nổi tiếng nhằm lừa đảo người dùng.
Ví dụ, kẻ tấn công có thể tạo ra một DApp Uniswap giả mạo và kết nối với ví Metamask của người dùng thông qua Wallet Connect. Trong quá trình ghép nối, ví sẽ hiển thị thông tin Uniswap có vẻ hợp pháp, bao gồm tên, trang web và biểu tượng. Một khi người dùng chấp thuận kết nối, kẻ tấn công có thể gửi yêu cầu giao dịch độc hại.
2. Lừa đảo thông tin hợp đồng thông minh thông qua Metamask
Các ví như Metamask sẽ hiển thị tên hàm của hợp đồng thông minh trên giao diện phê duyệt giao dịch. Kẻ tấn công có thể đăng ký các hàm hợp đồng thông minh với tên gọi gây hiểu lầm, chẳng hạn như "SecurityUpdate", và sử dụng những hàm này trong yêu cầu giao dịch. Khi người dùng thấy yêu cầu cập nhật dường như chính thức, họ có thể nhầm tưởng rằng đây là một hoạt động hợp pháp và phê duyệt giao dịch.
Đề xuất phòng ngừa
Đối với các nhà phát triển Ví tiền:
Luôn coi dữ liệu đầu vào từ bên ngoài là không đáng tin cậy
Chọn lọc kỹ lưỡng thông tin sẽ hiển thị tới người dùng và xác minh tính hợp pháp của nó.
Cân nhắc việc thực hiện cơ chế xác thực bổ sung, chẳng hạn như xác thực thông tin DApp
Đối với người dùng:
Giữ cảnh giác đối với mỗi yêu cầu giao dịch không xác định
Kiểm tra kỹ các chi tiết giao dịch, đừng chỉ dựa vào thông tin hiển thị trên UI để đưa ra quyết định
Nếu có thắc mắc, vui lòng xác minh thông tin qua kênh chính thức.
Tóm lại, các cuộc tấn công lừa đảo theo mô hình đã làm lộ ra những lỗ hổng tiềm ẩn trong thiết kế giao diện người dùng và xác thực thông tin của Ví tiền Web3.0. Khi các phương thức tấn công này tiếp tục phát triển, cả nhà phát triển ví và người dùng đều cần nâng cao nhận thức về an toàn, cùng nhau duy trì sự an toàn cho hệ sinh thái Web3.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
5
Chia sẻ
Bình luận
0/400
NFT_Therapy
· 11giờ trước
Đừng hợp đồng thông minh nữa, hãy chạy thôi.
Xem bản gốcTrả lời0
SchrodingerAirdrop
· 07-23 16:09
Hỏng rồi, vị thế Short không dám mở nữa.
Xem bản gốcTrả lời0
ValidatorVibes
· 07-23 16:07
một ngày nữa, một lỗ hổng nữa... khi nào các nhà phát triển mới học được cách xác thực modal đúng cách smh
Xem bản gốcTrả lời0
NFTHoarder
· 07-23 16:07
Đừng nghĩ rằng bẫy tôi, tên xấu xa này lại còn muốn lừa tôi cái nft của tôi.
Xem bản gốcTrả lời0
SighingCashier
· 07-23 16:02
Thế giới tiền điện tử lại xuất hiện chiêu trò lừa đảo mới.
Web3 Ví tiền mới mối đe dọa: Giải thích chi tiết về tấn công lừa đảo mô hình và phòng ngừa
Rủi ro an toàn mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình
Gần đây, các nhà nghiên cứu an ninh đã phát hiện một loại kỹ thuật lừa đảo mới nhắm vào Ví tiền Web3.0, được gọi là "tấn công lừa đảo theo mô hình" (Modal Phishing). Phương pháp tấn công này lợi dụng lỗ hổng thiết kế cửa sổ mô hình của Ví tiền di động, bằng cách hiển thị thông tin gây hiểu lầm để lừa người dùng phê duyệt giao dịch độc hại.
Nguyên lý của cuộc tấn công lừa đảo mô-đun
Các cuộc tấn công lừa đảo mô hình chủ yếu nhắm vào các cửa sổ mô hình thường được sử dụng trong ứng dụng ví tiền tiền điện tử. Những cửa sổ mô hình này thường được sử dụng để hiển thị thông tin yêu cầu giao dịch và nhận sự chấp thuận của người dùng. Kẻ tấn công có thể thao tác một số yếu tố giao diện người dùng trong những cửa sổ này để làm cho chúng hiển thị thông tin giả mạo hoặc gây nhầm lẫn.
Cụ thể, kẻ tấn công có thể kiểm soát các yếu tố UI sau:
Các trường hợp tấn công điển hình
1. Sử dụng giao thức Wallet Connect để lừa đảo DApp
Wallet Connect là một giao thức được sử dụng rộng rãi để kết nối ví tiền của người dùng với DApp. Các nhà nghiên cứu phát hiện ra rằng, trong quá trình ghép nối, ứng dụng ví tiền sẽ trực tiếp hiển thị thông tin meta do DApp cung cấp mà không xác minh. Kẻ tấn công có thể lợi dụng điều này để giả mạo thông tin của DApp nổi tiếng nhằm lừa đảo người dùng.
Ví dụ, kẻ tấn công có thể tạo ra một DApp Uniswap giả mạo và kết nối với ví Metamask của người dùng thông qua Wallet Connect. Trong quá trình ghép nối, ví sẽ hiển thị thông tin Uniswap có vẻ hợp pháp, bao gồm tên, trang web và biểu tượng. Một khi người dùng chấp thuận kết nối, kẻ tấn công có thể gửi yêu cầu giao dịch độc hại.
2. Lừa đảo thông tin hợp đồng thông minh thông qua Metamask
Các ví như Metamask sẽ hiển thị tên hàm của hợp đồng thông minh trên giao diện phê duyệt giao dịch. Kẻ tấn công có thể đăng ký các hàm hợp đồng thông minh với tên gọi gây hiểu lầm, chẳng hạn như "SecurityUpdate", và sử dụng những hàm này trong yêu cầu giao dịch. Khi người dùng thấy yêu cầu cập nhật dường như chính thức, họ có thể nhầm tưởng rằng đây là một hoạt động hợp pháp và phê duyệt giao dịch.
Đề xuất phòng ngừa
Đối với các nhà phát triển Ví tiền:
Đối với người dùng:
Tóm lại, các cuộc tấn công lừa đảo theo mô hình đã làm lộ ra những lỗ hổng tiềm ẩn trong thiết kế giao diện người dùng và xác thực thông tin của Ví tiền Web3.0. Khi các phương thức tấn công này tiếp tục phát triển, cả nhà phát triển ví và người dùng đều cần nâng cao nhận thức về an toàn, cùng nhau duy trì sự an toàn cho hệ sinh thái Web3.