Нові методи атаки на Web3 мобільні гаманці: модальне фішинг
Нещодавно була виявлена нова технологія фішингу, спрямована на мобільні гаманці Web3, яка може вводити користувачів в оману щодо ідентичності підключеного децентралізованого додатку (DApp). Цей новий метод атаки називається "модальним фішингом" (Modal Phishing).
Зловмисники використовують цю технологію для надсилання фальшивих повідомлень до мобільного Гаманець, підробляючи легітимні DApp, і спонукають користувачів схвалювати транзакції, відображаючи оманливий зміст у модальному вікні Гаманець. Наразі ця техніка фішингу широко використовується. Розробники відповідних компонентів підтвердили, що незабаром буде випущено новий API верифікації для зменшення ризиків.
Принцип модального фішингу
Модальні фішингові атаки в основному націлені на модальне вікно гаманця. Модальні вікна є звичайними елементами інтерфейсу користувача в мобільних додатках, які зазвичай з'являються у верхній частині основного вікна для швидких дій, таких як затвердження/відхилення запитів на транзакції.
Типове модальне проектування Web3 Гаманець зазвичай надає інформацію про транзакції та кнопки підтвердження/відхилення. Однак ці елементи UI можуть бути контрольовані зловмисниками для фішинг-атак. Зловмисники можуть маніпулювати кількома елементами UI, включаючи:
Якщо використовувати протокол Wallet Connect, UI-елементи інформації DApp, такі як назва, значок тощо ( можуть бути контрольовані.
Інформаційні елементи інтерфейсу смарт-контрактів у деяких гаманець додатках можуть бути контрольовані
![Розкриття нової схеми шахрайства з мобільними гаманцями Web3.0: Модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-5e20d7bf94995070ef023d62154c13c2.webp(
Типові випадки атак
) 1. Фішинг DApp через Гаманець Connect
Wallet Connect є популярним відкритим протоколом, призначеним для підключення гаманців користувачів до DApp через QR-код або глибоке посилання. Під час процесу спарювання Web3 гаманець відобразить модальне вікно, що демонструє метадані вхідного запиту на спарювання, включаючи назву DApp, веб-сайт, іконку та опис.
Однак ця інформація надається DApp, гаманець не перевіряє її достовірність. Зловмисники можуть підробити відомий DApp, спокушаючи користувачів підключитися та затвердити транзакцію.
![Розкриття нових схем шахрайства з мобільними гаманцями Web3.0: модальне фішинг-атака Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Розкриття нових схем шахрайства з мобільними Гаманець у Web3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
) 2. Фішинг інформації про смарт-контракти через MetaMask
Інформація про типи транзакцій, що відображається в модальному вікні затвердження MetaMask, такі як "Confirm" або "Unknown Method" ###, може контролюватися зловмисниками. MetaMask зчитує байти підпису смарт-контракту та використовує реєстр методів на ланцюгу для запиту відповідної назви методу.
Зловмисники можуть створювати фішингові смарт-контракти, реєструючи підписи методів як спонукальні рядки (, такі як "SecurityUpdate" ). Коли MetaMask аналізує цей фішинговий смарт-контракт, він відображає цю оманливу назву користувачеві в модальному вікні підтвердження.
Рекомендації щодо запобігання
Розробники застосунків для Гаманців повинні завжди вважати, що зовнішні дані ненадійні, ретельно вибирати інформацію, яку показують користувачам, і перевіряти її законність.
Протокол Wallet Connect можна розглянути для попередньої перевірки дійсності та законності інформації про DApp.
Користувач повинен бути обережним щодо кожного невідомого запиту на транзакцію та ретельно перевіряти деталі транзакції.
Гаманець застосунок повинен моніторити та фільтрувати слова, які можуть бути використані для фішингових атак.
Отже, деякі елементи інтерфейсу користувача у модальному вікні Web3 гаманець можуть бути маніпульовані зловмисниками, створюючи дуже переконливі фішингові пастки. Основною причиною цієї атаки є те, що додатки гаманців недостатньо перевіряють легітимність представлених елементів інтерфейсу. Користувачі та розробники повинні підвищити пильність і спільно підтримувати безпеку екосистеми Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
3
Репост
Поділіться
Прокоментувати
0/400
NFTArchaeologist
· 07-26 21:44
Податок на IQ знову прийшов
Переглянути оригіналвідповісти на0
TxFailed
· 07-24 15:57
класична помилка в UX... я зекономив собі 2eth, навчившись цього важким шляхом
Переглянути оригіналвідповісти на0
GasFeeLady
· 07-24 15:34
не можна більше ігнорувати MEV боти... вони еволюціонують, смх
Модальні фішингові атаки: мобільні гаманці Web3 стикаються з новими загрозами фішингу
Нові методи атаки на Web3 мобільні гаманці: модальне фішинг
Нещодавно була виявлена нова технологія фішингу, спрямована на мобільні гаманці Web3, яка може вводити користувачів в оману щодо ідентичності підключеного децентралізованого додатку (DApp). Цей новий метод атаки називається "модальним фішингом" (Modal Phishing).
Зловмисники використовують цю технологію для надсилання фальшивих повідомлень до мобільного Гаманець, підробляючи легітимні DApp, і спонукають користувачів схвалювати транзакції, відображаючи оманливий зміст у модальному вікні Гаманець. Наразі ця техніка фішингу широко використовується. Розробники відповідних компонентів підтвердили, що незабаром буде випущено новий API верифікації для зменшення ризиків.
Принцип модального фішингу
Модальні фішингові атаки в основному націлені на модальне вікно гаманця. Модальні вікна є звичайними елементами інтерфейсу користувача в мобільних додатках, які зазвичай з'являються у верхній частині основного вікна для швидких дій, таких як затвердження/відхилення запитів на транзакції.
Типове модальне проектування Web3 Гаманець зазвичай надає інформацію про транзакції та кнопки підтвердження/відхилення. Однак ці елементи UI можуть бути контрольовані зловмисниками для фішинг-атак. Зловмисники можуть маніпулювати кількома елементами UI, включаючи:
![Розкриття нової схеми шахрайства з мобільними гаманцями Web3.0: Модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-5e20d7bf94995070ef023d62154c13c2.webp(
Типові випадки атак
) 1. Фішинг DApp через Гаманець Connect
Wallet Connect є популярним відкритим протоколом, призначеним для підключення гаманців користувачів до DApp через QR-код або глибоке посилання. Під час процесу спарювання Web3 гаманець відобразить модальне вікно, що демонструє метадані вхідного запиту на спарювання, включаючи назву DApp, веб-сайт, іконку та опис.
Однак ця інформація надається DApp, гаманець не перевіряє її достовірність. Зловмисники можуть підробити відомий DApp, спокушаючи користувачів підключитися та затвердити транзакцію.
![Розкриття нових схем шахрайства з мобільними гаманцями Web3.0: модальне фішинг-атака Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Розкриття нових схем шахрайства з мобільними Гаманець у Web3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
) 2. Фішинг інформації про смарт-контракти через MetaMask
Інформація про типи транзакцій, що відображається в модальному вікні затвердження MetaMask, такі як "Confirm" або "Unknown Method" ###, може контролюватися зловмисниками. MetaMask зчитує байти підпису смарт-контракту та використовує реєстр методів на ланцюгу для запиту відповідної назви методу.
Зловмисники можуть створювати фішингові смарт-контракти, реєструючи підписи методів як спонукальні рядки (, такі як "SecurityUpdate" ). Коли MetaMask аналізує цей фішинговий смарт-контракт, він відображає цю оманливу назву користувачеві в модальному вікні підтвердження.
Рекомендації щодо запобігання
Розробники застосунків для Гаманців повинні завжди вважати, що зовнішні дані ненадійні, ретельно вибирати інформацію, яку показують користувачам, і перевіряти її законність.
Протокол Wallet Connect можна розглянути для попередньої перевірки дійсності та законності інформації про DApp.
Користувач повинен бути обережним щодо кожного невідомого запиту на транзакцію та ретельно перевіряти деталі транзакції.
Гаманець застосунок повинен моніторити та фільтрувати слова, які можуть бути використані для фішингових атак.
Отже, деякі елементи інтерфейсу користувача у модальному вікні Web3 гаманець можуть бути маніпульовані зловмисниками, створюючи дуже переконливі фішингові пастки. Основною причиною цієї атаки є те, що додатки гаманців недостатньо перевіряють легітимність представлених елементів інтерфейсу. Користувачі та розробники повинні підвищити пильність і спільно підтримувати безпеку екосистеми Web3.