Phương pháp tấn công mới đối với ví tiền di động Web3: Lừa đảo mô hình
Gần đây, một loại kỹ thuật lừa đảo mới nhắm vào ví tiền di động Web3 đã được phát hiện, kỹ thuật này có thể khiến người dùng hiểu sai về danh tính của ứng dụng phi tập trung kết nối (DApp). Phương pháp tấn công mới này được gọi là "tấn công lừa đảo kiểu mô hình" (Modal Phishing).
Kẻ tấn công sử dụng công nghệ này để gửi thông tin giả đến ví tiền di động, mạo danh DApp hợp pháp và dụ dỗ người dùng phê duyệt giao dịch bằng cách hiển thị nội dung gây hiểu lầm trong cửa sổ mô-đun của ví. Hiện tại, công nghệ lừa đảo này đã được sử dụng rộng rãi. Các nhà phát triển thành phần liên quan đã xác nhận sẽ phát hành API xác thực mới để giảm thiểu rủi ro.
Nguyên lý tấn công lừa đảo mô hình
Các cuộc tấn công lừa đảo dạng modal chủ yếu nhắm vào cửa sổ modal của ví tiền tiền điện tử. Cửa sổ modal là một yếu tố UI thường được sử dụng trong ứng dụng di động, thường hiển thị ở đầu cửa sổ chính, được sử dụng để thực hiện các thao tác nhanh như chấp thuận/từ chối yêu cầu giao dịch.
Thiết kế mô-đun điển hình của ví tiền Web3 thường cung cấp thông tin giao dịch và nút chấp thuận/từ chối. Tuy nhiên, các yếu tố UI này có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo. Kẻ tấn công có thể thao túng nhiều yếu tố UI, bao gồm:
Nếu sử dụng giao thức Wallet Connect, các yếu tố UI thông tin DApp như tên, biểu tượng ( có thể được kiểm soát.
Một số yếu tố UI thông tin hợp đồng thông minh trong ứng dụng ví tiền có thể được kiểm soát
![Khám phá những trò lừa đảo mới của Ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-5e20d7bf94995070ef023d62154c13c2.webp(
Các trường hợp tấn công điển hình
) 1. Thực hiện lừa đảo DApp qua Wallet Connect
Wallet Connect là giao thức mã nguồn mở được ưa chuộng, dùng để kết nối ví của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3 sẽ hiển thị một cửa sổ mô-đun, trình bày thông tin meta của yêu cầu ghép nối đến, bao gồm tên DApp, trang web, biểu tượng và mô tả.
Tuy nhiên, thông tin này được cung cấp bởi DApp, ví tiền không xác minh tính xác thực của nó. Kẻ tấn công có thể giả mạo DApp nổi tiếng, lừa người dùng kết nối và phê duyệt giao dịch.
![Khám phá các hình thức lừa đảo mới trong ví tiền di động Web3.0: Tấn công lừa đảo theo mô hình Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Khám phá những trò lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
) 2. Lừa đảo thông tin hợp đồng thông minh qua MetaMask
Thông tin loại giao dịch hiển thị trong mô hình phê duyệt MetaMask ### như "Xác nhận" hoặc "Phương thức không xác định" ( có thể bị kẻ tấn công kiểm soát. MetaMask sẽ đọc byte chữ ký của hợp đồng thông minh và sử dụng bảng đăng ký phương thức trên chuỗi để tra cứu tên phương thức tương ứng.
Kẻ tấn công có thể tạo ra hợp đồng thông minh lừa đảo, đăng ký chữ ký phương thức dưới dạng chuỗi gây nhầm lẫn ) như "SecurityUpdate" (. Khi MetaMask phân tích hợp đồng thông minh lừa đảo này, nó sẽ hiển thị tên gây hiểu lầm này cho người dùng trong chế độ phê duyệt.
![Khám phá những trò lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
![Khám phá hình thức lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
![Khám phá trò lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![Khám phá lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
Đề xuất phòng ngừa
Nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy, cẩn thận chọn thông tin để hiển thị cho người dùng và xác thực tính hợp pháp của nó.
Giao thức Wallet Connect có thể xem xét xác thực trước thông tin DApp về tính hợp lệ và hợp pháp.
Người dùng nên giữ cảnh giác với mỗi yêu cầu giao dịch không rõ ràng và kiểm tra kỹ các chi tiết giao dịch.
Ứng dụng Ví tiền nên giám sát và lọc các từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
![Khám phá lừa đảo mới của Ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
Tóm lại, một số yếu tố UI trong cửa sổ mô-đun ví Web3 có thể bị kẻ tấn công thao túng, tạo ra những cái bẫy lừa đảo rất thuyết phục. Nguyên nhân cơ bản của cuộc tấn công này là ứng dụng ví không xác minh đầy đủ tính hợp pháp của các yếu tố UI được trình bày. Người dùng và nhà phát triển nên nâng cao cảnh giác, cùng nhau bảo vệ an ninh của hệ sinh thái Web3.
![Khám phá hình thức lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
3
Đăng lại
Chia sẻ
Bình luận
0/400
NFTArchaeologist
· 07-26 21:44
Thuế IQ lại đến rồi
Xem bản gốcTrả lời0
TxFailed
· 07-24 15:57
sai lầm UX cổ điển... tôi đã tiết kiệm được 2eth khi học được điều này theo cách khó khăn
Xem bản gốcTrả lời0
GasFeeLady
· 07-24 15:34
không thể bỏ qua các bot MEV nữa... chúng đang phát triển thật ngán ngẩm
Tấn công lừa đảo mô hình: Ví tiền di động Web3 đối mặt với mối đe dọa lừa đảo mới
Phương pháp tấn công mới đối với ví tiền di động Web3: Lừa đảo mô hình
Gần đây, một loại kỹ thuật lừa đảo mới nhắm vào ví tiền di động Web3 đã được phát hiện, kỹ thuật này có thể khiến người dùng hiểu sai về danh tính của ứng dụng phi tập trung kết nối (DApp). Phương pháp tấn công mới này được gọi là "tấn công lừa đảo kiểu mô hình" (Modal Phishing).
Kẻ tấn công sử dụng công nghệ này để gửi thông tin giả đến ví tiền di động, mạo danh DApp hợp pháp và dụ dỗ người dùng phê duyệt giao dịch bằng cách hiển thị nội dung gây hiểu lầm trong cửa sổ mô-đun của ví. Hiện tại, công nghệ lừa đảo này đã được sử dụng rộng rãi. Các nhà phát triển thành phần liên quan đã xác nhận sẽ phát hành API xác thực mới để giảm thiểu rủi ro.
Nguyên lý tấn công lừa đảo mô hình
Các cuộc tấn công lừa đảo dạng modal chủ yếu nhắm vào cửa sổ modal của ví tiền tiền điện tử. Cửa sổ modal là một yếu tố UI thường được sử dụng trong ứng dụng di động, thường hiển thị ở đầu cửa sổ chính, được sử dụng để thực hiện các thao tác nhanh như chấp thuận/từ chối yêu cầu giao dịch.
Thiết kế mô-đun điển hình của ví tiền Web3 thường cung cấp thông tin giao dịch và nút chấp thuận/từ chối. Tuy nhiên, các yếu tố UI này có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo. Kẻ tấn công có thể thao túng nhiều yếu tố UI, bao gồm:
![Khám phá những trò lừa đảo mới của Ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-5e20d7bf94995070ef023d62154c13c2.webp(
Các trường hợp tấn công điển hình
) 1. Thực hiện lừa đảo DApp qua Wallet Connect
Wallet Connect là giao thức mã nguồn mở được ưa chuộng, dùng để kết nối ví của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3 sẽ hiển thị một cửa sổ mô-đun, trình bày thông tin meta của yêu cầu ghép nối đến, bao gồm tên DApp, trang web, biểu tượng và mô tả.
Tuy nhiên, thông tin này được cung cấp bởi DApp, ví tiền không xác minh tính xác thực của nó. Kẻ tấn công có thể giả mạo DApp nổi tiếng, lừa người dùng kết nối và phê duyệt giao dịch.
![Khám phá các hình thức lừa đảo mới trong ví tiền di động Web3.0: Tấn công lừa đảo theo mô hình Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
![Khám phá những trò lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
) 2. Lừa đảo thông tin hợp đồng thông minh qua MetaMask
Thông tin loại giao dịch hiển thị trong mô hình phê duyệt MetaMask ### như "Xác nhận" hoặc "Phương thức không xác định" ( có thể bị kẻ tấn công kiểm soát. MetaMask sẽ đọc byte chữ ký của hợp đồng thông minh và sử dụng bảng đăng ký phương thức trên chuỗi để tra cứu tên phương thức tương ứng.
Kẻ tấn công có thể tạo ra hợp đồng thông minh lừa đảo, đăng ký chữ ký phương thức dưới dạng chuỗi gây nhầm lẫn ) như "SecurityUpdate" (. Khi MetaMask phân tích hợp đồng thông minh lừa đảo này, nó sẽ hiển thị tên gây hiểu lầm này cho người dùng trong chế độ phê duyệt.
![Khám phá những trò lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
![Khám phá hình thức lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
![Khám phá trò lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![Khám phá lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
Đề xuất phòng ngừa
Nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy, cẩn thận chọn thông tin để hiển thị cho người dùng và xác thực tính hợp pháp của nó.
Giao thức Wallet Connect có thể xem xét xác thực trước thông tin DApp về tính hợp lệ và hợp pháp.
Người dùng nên giữ cảnh giác với mỗi yêu cầu giao dịch không rõ ràng và kiểm tra kỹ các chi tiết giao dịch.
Ứng dụng Ví tiền nên giám sát và lọc các từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
![Khám phá lừa đảo mới của Ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
Tóm lại, một số yếu tố UI trong cửa sổ mô-đun ví Web3 có thể bị kẻ tấn công thao túng, tạo ra những cái bẫy lừa đảo rất thuyết phục. Nguyên nhân cơ bản của cuộc tấn công này là ứng dụng ví không xác minh đầy đủ tính hợp pháp của các yếu tố UI được trình bày. Người dùng và nhà phát triển nên nâng cao cảnh giác, cùng nhau bảo vệ an ninh của hệ sinh thái Web3.
![Khám phá hình thức lừa đảo mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(