# Web3モバイルウォレット新型攻撃手法:モーダルフィッシング最近、Web3モバイルウォレットを狙った新しいフィッシング技術が発見されました。この技術は、ユーザーが接続された分散型アプリ(DApp)のアイデンティティを誤解させる可能性があります。この新しい攻撃手法は「モーダルフィッシング攻撃」と呼ばれています(Modal Phishing)。攻撃者はこの技術を利用してモバイルウォレットに偽の情報を送信し、正当なDAppを装い、ウォレットのモーダルウィンドウに誤解を招く内容を表示させてユーザーに取引を承認させるように仕向けます。現在、このフィッシング技術は広く使用されています。関連コンポーネントの開発者はリスクを低減するための新しい検証APIを発表することを確認しました。## モーダルフィッシング攻撃の原理モーダルフィッシング攻撃は主に暗号ウォレットのモーダルウィンドウを対象としています。モーダルウィンドウはモバイルアプリでよく使われるUI要素で、通常メインウィンドウの上に表示され、取引リクエストの承認/拒否などの迅速な操作に使用されます。Web3ウォレットの典型的なモーダルデザインは通常、取引情報と承認/拒否ボタンを提供します。しかし、これらのUI要素は攻撃者によって操作され、フィッシング攻撃に使用される可能性があります。攻撃者は複数のUI要素を操作することができます。1. Wallet Connectプロトコルを使用する場合、DApp情報のUI要素(の名称、アイコンなど)は制御可能です。2. 一部のウォレットアプリのスマートコントラクト情報UI要素は制御可能です。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## 典型的な攻撃事例### 1. DAppフィッシングをWallet Connectを通じて行うWallet Connectは、QRコードやディープリンクを介してユーザーのウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中に、Web3ウォレットはモーダルウィンドウを表示し、DAppの名前、URL、アイコン、説明などの受信したペアリングリクエストのメタ情報を表示します。しかし、これらの情報はDAppによって提供されており、ウォレットはその真実性を検証しません。攻撃者は有名なDAppを偽装し、ユーザーを誘導して接続させ、取引を承認させることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)### 2. MetaMaskを通じてスマートコントラクト情報のフィッシングMetaMaskの承認モーダルに表示される取引タイプ情報(は「Confirm」や「Unknown Method」として表示され、攻撃者によって制御される可能性があります。MetaMaskはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名を照会します。攻撃者はフィッシングスマートコントラクトを作成し、メソッドシグネチャを誘導的な文字列)として登録することができます。例えば「SecurityUpdate」(です。MetaMaskがこのフィッシングスマートコントラクトを解析すると、承認モーダルでユーザーにこの誤解を招く名前を表示します。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング])https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c(! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489(! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d(! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] )https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e(## 予防に関する推奨事項1. ウォレットアプリの開発者は常に外部からの入力データは信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を検証する必要があります。2. ウォレット Connectプロトコルは、DApp情報の有効性と合法性を事前に検証することを検討できます。3. ユーザーは、未知の取引リクエストに対して警戒を怠らず、取引の詳細を注意深く確認する必要があります。4. ウォレットアプリはフィッシング攻撃に使用される可能性のある言葉を監視し、フィルタリングする必要があります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91(要するに、Web3ウォレットモーダルウィンドウ内の特定のUI要素は攻撃者によって操作される可能性があり、非常に説得力のあるフィッシングトラップを作り出すことができます。この攻撃の根本的な原因は、ウォレットアプリが表示されるUI要素の合法性を十分に検証していないことです。ユーザーと開発者は共に警戒を強め、Web3エコシステムの安全を維持する必要があります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング])https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9(
モダリティフィッシング攻撃:Web3モバイルウォレットが新しいフィッシングの脅威に直面しています
Web3モバイルウォレット新型攻撃手法:モーダルフィッシング
最近、Web3モバイルウォレットを狙った新しいフィッシング技術が発見されました。この技術は、ユーザーが接続された分散型アプリ(DApp)のアイデンティティを誤解させる可能性があります。この新しい攻撃手法は「モーダルフィッシング攻撃」と呼ばれています(Modal Phishing)。
攻撃者はこの技術を利用してモバイルウォレットに偽の情報を送信し、正当なDAppを装い、ウォレットのモーダルウィンドウに誤解を招く内容を表示させてユーザーに取引を承認させるように仕向けます。現在、このフィッシング技術は広く使用されています。関連コンポーネントの開発者はリスクを低減するための新しい検証APIを発表することを確認しました。
モーダルフィッシング攻撃の原理
モーダルフィッシング攻撃は主に暗号ウォレットのモーダルウィンドウを対象としています。モーダルウィンドウはモバイルアプリでよく使われるUI要素で、通常メインウィンドウの上に表示され、取引リクエストの承認/拒否などの迅速な操作に使用されます。
Web3ウォレットの典型的なモーダルデザインは通常、取引情報と承認/拒否ボタンを提供します。しかし、これらのUI要素は攻撃者によって操作され、フィッシング攻撃に使用される可能性があります。攻撃者は複数のUI要素を操作することができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
典型的な攻撃事例
1. DAppフィッシングをWallet Connectを通じて行う
Wallet Connectは、QRコードやディープリンクを介してユーザーのウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中に、Web3ウォレットはモーダルウィンドウを表示し、DAppの名前、URL、アイコン、説明などの受信したペアリングリクエストのメタ情報を表示します。
しかし、これらの情報はDAppによって提供されており、ウォレットはその真実性を検証しません。攻撃者は有名なDAppを偽装し、ユーザーを誘導して接続させ、取引を承認させることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
2. MetaMaskを通じてスマートコントラクト情報のフィッシング
MetaMaskの承認モーダルに表示される取引タイプ情報(は「Confirm」や「Unknown Method」として表示され、攻撃者によって制御される可能性があります。MetaMaskはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名を照会します。
攻撃者はフィッシングスマートコントラクトを作成し、メソッドシグネチャを誘導的な文字列)として登録することができます。例えば「SecurityUpdate」(です。MetaMaskがこのフィッシングスマートコントラクトを解析すると、承認モーダルでユーザーにこの誤解を招く名前を表示します。
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] )https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
予防に関する推奨事項
ウォレットアプリの開発者は常に外部からの入力データは信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を検証する必要があります。
ウォレット Connectプロトコルは、DApp情報の有効性と合法性を事前に検証することを検討できます。
ユーザーは、未知の取引リクエストに対して警戒を怠らず、取引の詳細を注意深く確認する必要があります。
ウォレットアプリはフィッシング攻撃に使用される可能性のある言葉を監視し、フィルタリングする必要があります。
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
要するに、Web3ウォレットモーダルウィンドウ内の特定のUI要素は攻撃者によって操作される可能性があり、非常に説得力のあるフィッシングトラップを作り出すことができます。この攻撃の根本的な原因は、ウォレットアプリが表示されるUI要素の合法性を十分に検証していないことです。ユーザーと開発者は共に警戒を強め、Web3エコシステムの安全を維持する必要があります。
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(