Новые методы атак на мобильные кошельки Web3: модальное фишинг
В последнее время была обнаружена новая технология фишинга, направленная на мобильные кошельки Web3, которая может ввести пользователей в заблуждение относительно идентичности подключенного децентрализованного приложения (DApp). Этот новый метод атаки называется "модальный фишинг" (Modal Phishing).
Злоумышленники используют эту технологию для отправки ложной информации в мобильный Кошелек, выдавая себя за законные DApp, и подкупая пользователей, чтобы они одобрили транзакцию, показывая вводящий в заблуждение контент в модальном окне Кошелька. В настоящее время эта фишинговая техника широко используется. Разработчики соответствующих компонентов подтвердили, что будут выпущены новые API для проверки, чтобы снизить риски.
Принцип атаки модального фишинга
Модальные фишинговые атаки в основном нацелены на модальные окна крипто-кошельков. Модальные окна являются распространённым элементом интерфейса в мобильных приложениях и обычно отображаются в верхней части основного окна для быстрого выполнения операций, таких как одобрение/отклонение запросов на транзакции.
Типичный модальный дизайн Web3 Кошелька обычно предоставляет информацию о транзакциях и кнопки одобрения/отказа. Однако эти элементы пользовательского интерфейса могут быть контролируемы злоумышленниками для фишинг-атак. Злоумышленники могут манипулировать несколькими элементами пользовательского интерфейса, включая:
Если используется протокол Wallet Connect, элементы пользовательского интерфейса DApp, такие как название, значок и т.д. ( могут быть контролируемыми.
Некоторые элементы пользовательского интерфейса информации о смарт-контрактах в приложениях кошельков могут быть контролируемыми.
![Раскрытие новой схемы мошенничества с мобильными кошельками Web3.0: модальная фишинговая атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-5e20d7bf94995070ef023d62154c13c2.webp(
Типичные случаи атак
) 1. Фишинг DApp через Wallet Connect
Wallet Connect — это популярный открытый протокол, который используется для подключения пользовательского Кошелька к DApp через QR-код или глубинную ссылку. В процессе сопряжения Web3 Кошелек отображает модальное окно, показывающее метаданные входящего запроса на сопряжение, включая название DApp, веб-адрес, значок и описание.
Однако эта информация предоставляется DApp, и Кошелек не проверяет ее подлинность. Злоумышленники могут выдавать себя за известные DApp, обманывая пользователей подключаться и одобрять транзакции.
![Раскрытие новой схемы мошенничества с мобильными кошельками Web3.0: модальная фишинговая атака Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Раскрытие нового типа мошенничества с мобильными кошельками Web3.0: модальная фишинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
) 2. Фишинг информации о смарт-контрактах через MetaMask
Информация о типе транзакции, отображаемая в модальном окне подтверждения MetaMask, как "Подтвердить" или "Неизвестный метод" ### может быть скомпрометирована злоумышленниками. MetaMask считывает байты подписи смарт-контракта и использует реестр методов на блокчейне для запроса соответствующего имени метода.
Злоумышленники могут создать фишинговый смарт-контракт, зарегистрировав сигнатуру метода как вводящую в заблуждение строку (, например, "SecurityUpdate"). Когда MetaMask будет интерпретировать этот фишинговый смарт-контракт, он отобразит это вводящее в заблуждение название пользователю в модальном окне одобрения.
Рекомендации по предотвращению
Разработчики приложений Кошелек всегда должны предполагать, что внешние входящие данные ненадежны, тщательно выбирать информацию, которую они показывают пользователю, и проверять ее легитимность.
Протокол Wallet Connect может рассмотреть возможность предварительной проверки действительности и законности информации о DApp.
Пользователь должен быть осторожен с каждым неизвестным запросом на транзакцию и тщательно проверять детали транзакции.
Кошелек приложение должно мониторить и фильтровать слова, которые могут быть использованы для фишинг-атак.
В общем, некоторые элементы пользовательского интерфейса в модальном окне Web3 Кошелек могут быть манипулированы злоумышленниками, создавая очень убедительные фишинговые ловушки. Основная причина этой атаки заключается в том, что приложение Кошелек не проверяет должным образом законность представленных элементов пользовательского интерфейса. Пользователи и разработчики должны быть бдительными и совместно поддерживать безопасность экосистемы Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
3
Репост
Поделиться
комментарий
0/400
NFTArchaeologist
· 07-26 21:44
Сборщик налога на интеллект снова пришёл
Посмотреть ОригиналОтветить0
TxFailed
· 07-24 15:57
классическая ошибка UX... я сэкономил 2eth, изучив это на собственном опыте
Посмотреть ОригиналОтветить0
GasFeeLady
· 07-24 15:34
больше не могу игнорировать MEV-роботов... они эволюционируют, смх
Модальные фишинговые атаки: мобильные Кошельки Web3 сталкиваются с новыми угрозами фишинга
Новые методы атак на мобильные кошельки Web3: модальное фишинг
В последнее время была обнаружена новая технология фишинга, направленная на мобильные кошельки Web3, которая может ввести пользователей в заблуждение относительно идентичности подключенного децентрализованного приложения (DApp). Этот новый метод атаки называется "модальный фишинг" (Modal Phishing).
Злоумышленники используют эту технологию для отправки ложной информации в мобильный Кошелек, выдавая себя за законные DApp, и подкупая пользователей, чтобы они одобрили транзакцию, показывая вводящий в заблуждение контент в модальном окне Кошелька. В настоящее время эта фишинговая техника широко используется. Разработчики соответствующих компонентов подтвердили, что будут выпущены новые API для проверки, чтобы снизить риски.
Принцип атаки модального фишинга
Модальные фишинговые атаки в основном нацелены на модальные окна крипто-кошельков. Модальные окна являются распространённым элементом интерфейса в мобильных приложениях и обычно отображаются в верхней части основного окна для быстрого выполнения операций, таких как одобрение/отклонение запросов на транзакции.
Типичный модальный дизайн Web3 Кошелька обычно предоставляет информацию о транзакциях и кнопки одобрения/отказа. Однако эти элементы пользовательского интерфейса могут быть контролируемы злоумышленниками для фишинг-атак. Злоумышленники могут манипулировать несколькими элементами пользовательского интерфейса, включая:
![Раскрытие новой схемы мошенничества с мобильными кошельками Web3.0: модальная фишинговая атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-5e20d7bf94995070ef023d62154c13c2.webp(
Типичные случаи атак
) 1. Фишинг DApp через Wallet Connect
Wallet Connect — это популярный открытый протокол, который используется для подключения пользовательского Кошелька к DApp через QR-код или глубинную ссылку. В процессе сопряжения Web3 Кошелек отображает модальное окно, показывающее метаданные входящего запроса на сопряжение, включая название DApp, веб-адрес, значок и описание.
Однако эта информация предоставляется DApp, и Кошелек не проверяет ее подлинность. Злоумышленники могут выдавать себя за известные DApp, обманывая пользователей подключаться и одобрять транзакции.
![Раскрытие новой схемы мошенничества с мобильными кошельками Web3.0: модальная фишинговая атака Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Раскрытие нового типа мошенничества с мобильными кошельками Web3.0: модальная фишинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
) 2. Фишинг информации о смарт-контрактах через MetaMask
Информация о типе транзакции, отображаемая в модальном окне подтверждения MetaMask, как "Подтвердить" или "Неизвестный метод" ### может быть скомпрометирована злоумышленниками. MetaMask считывает байты подписи смарт-контракта и использует реестр методов на блокчейне для запроса соответствующего имени метода.
Злоумышленники могут создать фишинговый смарт-контракт, зарегистрировав сигнатуру метода как вводящую в заблуждение строку (, например, "SecurityUpdate"). Когда MetaMask будет интерпретировать этот фишинговый смарт-контракт, он отобразит это вводящее в заблуждение название пользователю в модальном окне одобрения.
Рекомендации по предотвращению
Разработчики приложений Кошелек всегда должны предполагать, что внешние входящие данные ненадежны, тщательно выбирать информацию, которую они показывают пользователю, и проверять ее легитимность.
Протокол Wallet Connect может рассмотреть возможность предварительной проверки действительности и законности информации о DApp.
Пользователь должен быть осторожен с каждым неизвестным запросом на транзакцию и тщательно проверять детали транзакции.
Кошелек приложение должно мониторить и фильтровать слова, которые могут быть использованы для фишинг-атак.
В общем, некоторые элементы пользовательского интерфейса в модальном окне Web3 Кошелек могут быть манипулированы злоумышленниками, создавая очень убедительные фишинговые ловушки. Основная причина этой атаки заключается в том, что приложение Кошелек не проверяет должным образом законность представленных элементов пользовательского интерфейса. Пользователи и разработчики должны быть бдительными и совместно поддерживать безопасность экосистемы Web3.