أسلوب هجوم جديد على المحافظ المحمولة في Web3: صيد النماذج
مؤخراً، تم اكتشاف تقنية جديدة للتصيد الاحتيالي تستهدف محافظ الويب 3 المحمولة، والتي قد تضلل المستخدمين بشأن هوية التطبيقات اللامركزية المتصلة (DApp). تُعرف هذه الطريقة الجديدة للهجوم باسم "هجوم التصيد الاحتيالي النمطي" (Modal Phishing).
يستخدم المهاجمون هذه التقنية لإرسال معلومات مزيفة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي، ومن خلال عرض محتوى مضلل في نافذة المحفظة، يحثون المستخدمين على الموافقة على المعاملات. في الوقت الحالي، تم استخدام هذه التقنية في الصيد بشكل واسع. وقد أكد مطورو المكونات ذات الصلة أنهم سيصدرون واجهة برمجة تطبيقات تحقق جديدة لتقليل المخاطر.
مبدأ هجوم الصيد بالوضع
تستهدف هجمات التصيد الاحتيالي النمطي بشكل أساسي النوافذ النمطية لمحافظ التشفير. النوافذ النمطية هي عناصر واجهة مستخدم شائعة الاستخدام في تطبيقات الهاتف المحمول، وعادة ما تظهر في الجزء العلوي من النافذة الرئيسية، وتستخدم لإجراء عمليات سريعة مثل الموافقة/الرفض على طلبات المعاملات.
تصميم نمط Web3 للمحفظة عادةً ما يوفر معلومات المعاملات وأزرار الموافقة/الرفض. ومع ذلك، يمكن أن يتم التحكم في هذه العناصر من قبل المهاجمين لاستخدامها في هجمات التصيد. يمكن للمهاجمين التلاعب بعدة عناصر واجهة مستخدم، بما في ذلك:
إذا تم استخدام بروتوكول Wallet Connect، يمكن التحكم في عناصر واجهة معلومات DApp مثل الاسم، الأيقونة، إلخ (.
يمكن التحكم في عناصر واجهة مستخدم معلومات العقد الذكي في بعض تطبيقات المحفظة
![كشف النقاب عن نوع جديد من الاحتيال في المحفظة المحمولة Web3.0: هجوم التصيد الطرحي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-5e20d7bf94995070ef023d62154c13c2.webp(
حالات الهجوم النموذجية
) 1. من خلال Wallet Connect للدخول إلى DApp
المحفظة Connect هو بروتوكول مفتوح المصدر شائع يستخدم لربط محفظة المستخدم بـ DApp من خلال رمز الاستجابة السريعة أو رابط عميق. خلال عملية الاقتران، ستظهر محفظة Web3 نافذة نموذجية تعرض معلومات تعريفية حول طلب الاقتران الوارد، بما في ذلك اسم DApp، وعنوان الموقع، والرسم، والوصف.
ومع ذلك، يتم توفير هذه المعلومات من قبل DApp، ولا تتحقق المحفظة من صحتها. يمكن للمهاجمين انتحال شخصية DApp الشهير، وخداع المستخدمين للاتصال والموافقة على الصفقة.
![كشف النقاب عن خدعة جديدة في محفظة Web3.0: هجوم التصيد الوهمي Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![كشف عن نوع جديد من احتيال المحفظة المحمولة Web3.0: هجوم التصيد النمطي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
) 2. التصيد المعلومات لعقد ذكي من خلال MetaMask
يمكن لمهاجمين التحكم في معلومات نوع المعاملة المعروضة في نموذج الموافقة في MetaMask ### مثل "تأكيد" أو "طريقة غير معروفة". سيقوم MetaMask بقراءة بايت توقيع العقد الذكي واستخدام سجل طرق على السلسلة للاستعلام عن اسم الطريقة المقابل.
يمكن للمهاجمين إنشاء عقود ذكية احتيالية، وتسجيل توقيع الطريقة كسلسلة مضللة ( مثل "SecurityUpdate" ). عندما يقوم MetaMask بتحليل هذا العقد الذكي الاحتيالي، سيتم عرض هذا الاسم المضلل للمستخدم في وضع الموافقة.
نصائح للوقاية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات الواردة من الخارج غير موثوقة، وأن يختاروا بعناية المعلومات المعروضة للمستخدمين، والتحقق من شرعيتها.
يمكن اعتبار بروتوكول Wallet Connect للتحقق مسبقًا من صحة وشرعية معلومات DApp.
يجب على المستخدم أن يظل يقظًا تجاه كل طلب تداول غير معروف، والتحقق بعناية من تفاصيل التداول.
يجب على تطبيق المحفظة مراقبة وتصفية الكلمات التي قد تُستخدم في هجمات التصيد.
بشكل عام، يمكن للمهاجمين التلاعب ببعض عناصر واجهة المستخدم في نافذة نمط المحفظة Web3، مما يخلق فخاخ تصيد قوية الإقناع. السبب الجذري لهذا الهجوم هو أن تطبيقات المحفظة لم تتحقق بشكل كافٍ من شرعية عناصر واجهة المستخدم المقدمة. يجب على المستخدمين والمطورين أن يكونوا حذرين ويعملوا معًا للحفاظ على أمان بيئة Web3.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 10
أعجبني
10
3
إعادة النشر
مشاركة
تعليق
0/400
NFTArchaeologist
· 07-26 21:44
جهاز جمع ضريبة الذكاء عاد من جديد
شاهد النسخة الأصليةرد0
TxFailed
· 07-24 15:57
خطأ تقني كلاسيكي... أنقذت نفسي 2eth بتعلم هذا بالطريقة الصعبة
شاهد النسخة الأصليةرد0
GasFeeLady
· 07-24 15:34
لا يمكن تجاهل روبوتات MEV بعد الآن... إنهم يتطورون، يا إلهي
هجوم تصيد النمط: محافظ الويب 3 المحمولة تواجه تهديدات تصيد جديدة
أسلوب هجوم جديد على المحافظ المحمولة في Web3: صيد النماذج
مؤخراً، تم اكتشاف تقنية جديدة للتصيد الاحتيالي تستهدف محافظ الويب 3 المحمولة، والتي قد تضلل المستخدمين بشأن هوية التطبيقات اللامركزية المتصلة (DApp). تُعرف هذه الطريقة الجديدة للهجوم باسم "هجوم التصيد الاحتيالي النمطي" (Modal Phishing).
يستخدم المهاجمون هذه التقنية لإرسال معلومات مزيفة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي، ومن خلال عرض محتوى مضلل في نافذة المحفظة، يحثون المستخدمين على الموافقة على المعاملات. في الوقت الحالي، تم استخدام هذه التقنية في الصيد بشكل واسع. وقد أكد مطورو المكونات ذات الصلة أنهم سيصدرون واجهة برمجة تطبيقات تحقق جديدة لتقليل المخاطر.
مبدأ هجوم الصيد بالوضع
تستهدف هجمات التصيد الاحتيالي النمطي بشكل أساسي النوافذ النمطية لمحافظ التشفير. النوافذ النمطية هي عناصر واجهة مستخدم شائعة الاستخدام في تطبيقات الهاتف المحمول، وعادة ما تظهر في الجزء العلوي من النافذة الرئيسية، وتستخدم لإجراء عمليات سريعة مثل الموافقة/الرفض على طلبات المعاملات.
تصميم نمط Web3 للمحفظة عادةً ما يوفر معلومات المعاملات وأزرار الموافقة/الرفض. ومع ذلك، يمكن أن يتم التحكم في هذه العناصر من قبل المهاجمين لاستخدامها في هجمات التصيد. يمكن للمهاجمين التلاعب بعدة عناصر واجهة مستخدم، بما في ذلك:
![كشف النقاب عن نوع جديد من الاحتيال في المحفظة المحمولة Web3.0: هجوم التصيد الطرحي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-5e20d7bf94995070ef023d62154c13c2.webp(
حالات الهجوم النموذجية
) 1. من خلال Wallet Connect للدخول إلى DApp
المحفظة Connect هو بروتوكول مفتوح المصدر شائع يستخدم لربط محفظة المستخدم بـ DApp من خلال رمز الاستجابة السريعة أو رابط عميق. خلال عملية الاقتران، ستظهر محفظة Web3 نافذة نموذجية تعرض معلومات تعريفية حول طلب الاقتران الوارد، بما في ذلك اسم DApp، وعنوان الموقع، والرسم، والوصف.
ومع ذلك، يتم توفير هذه المعلومات من قبل DApp، ولا تتحقق المحفظة من صحتها. يمكن للمهاجمين انتحال شخصية DApp الشهير، وخداع المستخدمين للاتصال والموافقة على الصفقة.
![كشف النقاب عن خدعة جديدة في محفظة Web3.0: هجوم التصيد الوهمي Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![كشف عن نوع جديد من احتيال المحفظة المحمولة Web3.0: هجوم التصيد النمطي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
) 2. التصيد المعلومات لعقد ذكي من خلال MetaMask
يمكن لمهاجمين التحكم في معلومات نوع المعاملة المعروضة في نموذج الموافقة في MetaMask ### مثل "تأكيد" أو "طريقة غير معروفة". سيقوم MetaMask بقراءة بايت توقيع العقد الذكي واستخدام سجل طرق على السلسلة للاستعلام عن اسم الطريقة المقابل.
يمكن للمهاجمين إنشاء عقود ذكية احتيالية، وتسجيل توقيع الطريقة كسلسلة مضللة ( مثل "SecurityUpdate" ). عندما يقوم MetaMask بتحليل هذا العقد الذكي الاحتيالي، سيتم عرض هذا الاسم المضلل للمستخدم في وضع الموافقة.
نصائح للوقاية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات الواردة من الخارج غير موثوقة، وأن يختاروا بعناية المعلومات المعروضة للمستخدمين، والتحقق من شرعيتها.
يمكن اعتبار بروتوكول Wallet Connect للتحقق مسبقًا من صحة وشرعية معلومات DApp.
يجب على المستخدم أن يظل يقظًا تجاه كل طلب تداول غير معروف، والتحقق بعناية من تفاصيل التداول.
يجب على تطبيق المحفظة مراقبة وتصفية الكلمات التي قد تُستخدم في هجمات التصيد.
بشكل عام، يمكن للمهاجمين التلاعب ببعض عناصر واجهة المستخدم في نافذة نمط المحفظة Web3، مما يخلق فخاخ تصيد قوية الإقناع. السبب الجذري لهذا الهجوم هو أن تطبيقات المحفظة لم تتحقق بشكل كافٍ من شرعية عناصر واجهة المستخدم المقدمة. يجب على المستخدمين والمطورين أن يكونوا حذرين ويعملوا معًا للحفاظ على أمان بيئة Web3.