Web3.0 محفظة الهاتف المحمول الجديدة تضليل: هجوم التصيد النمطي
مؤخراً، اكتشفنا تقنية جديدة للاحتيال عبر الإنترنت تستهدف المحفظة المحمولة Web3.0، وقد تؤدي هذه التقنية إلى تضليل المستخدمين عند اتصالهم بالتطبيقات اللامركزية (DApp). نحن نسمي هذه التقنية الجديدة للاحتيال عبر الإنترنت "هجوم الاحتيال النمطي" (Modal Phishing).
في هذا الهجوم، يمكن للقراصنة إرسال معلومات مزورة إلى المحفظة المحمولة، منتحلين DApp شرعي، من خلال عرض معلومات مضللة في نافذة المحفظة النموذجية لإغراء المستخدمين بالموافقة على الصفقة. حاليًا، تُستخدم هذه التقنية في التصيد الاحتيالي على نطاق واسع. لقد تواصلنا مع مطوري المكونات المعنية، الذين أفادوا أنهم سيصدرون واجهة برمجة تطبيقات تحقق جديدة لتقليل هذه المخاطر.
مبدأ هجمات تصيد النمط
عند إجراء بحث أمني حول المحفظة المحمولة، لاحظنا أن بعض عناصر واجهة المستخدم (UI) في محفظة التشفير Web3.0 قد تكون تحت سيطرة المهاجمين، مما يسهل تنفيذ هجمات التصيد. يُطلق عليها اسم تصيد النمط، لأن المهاجمين يستهدفون بشكل رئيسي النوافذ النمطية للمحفظة التشفيرية.
نافذة نمطية هي عنصر واجهة مستخدم شائع في تطبيقات الهاتف المحمول، وغالبًا ما تظهر في الجزء العلوي من نافذة التطبيق الرئيسية. يتم استخدام هذا التصميم عادةً لتسهيل على المستخدمين تنفيذ إجراءات سريعة، مثل الموافقة أو رفض طلبات معاملات المحفظة المشفرة Web3.0. يوفر تصميم نافذة المحفظة المشفرة Web3.0 النمطية عادةً معلومات المعاملة الضرورية لفحص المستخدم، بالإضافة إلى أزرار للموافقة أو رفض الطلب.
ومع ذلك، قد يتحكم المهاجمون في هذه العناصر واجهة المستخدم، لاستخدامها في تنفيذ هجمات التصيد الاحتيالي المتغيرة. يمكن للمهاجمين تغيير تفاصيل المعاملات، وتزييف طلبات المعاملات على أنها طلبات تحديث أمان من مصادر موثوقة، لخداع المستخدمين للموافقة.
حالتان نموذجيتان لهجوم الصيد الاحتيالي
الحالة 1: هجوم تصيد عبر Wallet Connect على DApp
Wallet Connect هو بروتوكول مفتوح المصدر يحظى بشعبية كبيرة، يُستخدم لربط محفظة المستخدم بتطبيقات DApp من خلال رمز الاستجابة السريعة أو الروابط العميقة. خلال عملية الاقتران بين المحفظة ومحافظ Web3.0 والتطبيقات DApp، ستظهر المحفظة نافذة منبثقة تعرض معلومات التعريف الخاصة بطلب الاقتران الوارد، بما في ذلك اسم DApp، عنوان الموقع، الأيقونة، والوصف.
ومع ذلك، فإن هذه المعلومات مقدمة من DApp، والمحفظة لا تتحقق من صحتها. في هجمات التصيد، يمكن للمهاجم انتحال DApp شرعي، مما يُغري المستخدمين بالاتصال به. يمكن للمهاجم التحكم في عناصر واجهة معلومات DApp (مثل الاسم، الأيقونة، إلخ)، مما يخدع المستخدمين للموافقة على المعاملات الواردة.
الحالة 2: التصيد الاحتيالي لمعلومات العقد الذكي عبر MetaMask
في نافذة مودال الموافقة على المعاملات في MetaMask، بالإضافة إلى معلومات DApp، هناك عنصر واجهة مستخدم يعرض نوع المعاملة. سيقوم MetaMask بقراءة بايتات توقيع العقد الذكي، واستخدام سجل طرق السلسلة للاستعلام عن اسم الطريقة المعنية. ومع ذلك، قد يستغل المهاجمون ذلك أيضًا.
يمكن للمهاجمين إنشاء عقد ذكي للتصيد يتضمن دالة تسمى "SecurityUpdate" ويقومون بتسجيلها كسلسلة قابلة للقراءة البشرية. عندما يقوم MetaMask بتحليل هذا العقد الذكي للتصيد، فإنه يقدم اسم هذه الدالة للمستخدم في نموذج الموافقة، مما يجعل المعاملة تبدو وكأنها طلب تحديث أمني.
اقتراحات الحماية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات الواردة من الخارج غير موثوقة، وأن يختاروا بعناية المعلومات التي سيعرضونها للمستخدمين، والتحقق من شرعية هذه المعلومات.
يجب على المستخدم أن يكون حذرًا من كل طلبات المعاملات غير المعروفة وأن لا يثق بسهولة في المعلومات المعروضة في نافذة النماذج.
ينبغي لمطوري بروتوكولات مثل Wallet Connect أن يأخذوا بعين الاعتبار التحقق المسبق من صحة وشرعية معلومات DApp.
يجب على مطوري تطبيقات المحفظة اتخاذ تدابير وقائية لتصفية الكلمات التي قد تُستخدم في هجمات التصيد.
بشكل عام، السبب الجذري لهجمات الصيد المودالية هو أن تطبيقات المحفظة لم تتحقق بشكل كامل من شرعية عناصر واجهة المستخدم المقدمة. لضمان أمان نظام Web3.0، يحتاج المطورون والمستخدمون إلى أن يكونوا يقظين واتخاذ التدابير الوقائية اللازمة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 12
أعجبني
12
7
إعادة النشر
مشاركة
تعليق
0/400
AlgoAlchemist
· منذ 11 س
يا إلهي، لقد خسرت في هذه الجولة بشكل فظيع
شاهد النسخة الأصليةرد0
MetaverseLandlord
· 08-08 15:39
أهلاً، لقد أصبح المحتالون يتبعون إيقاع Web3 الآن، أليس كذلك؟
شاهد النسخة الأصليةرد0
ser_ngmi
· 08-08 15:38
ها ، لقد ابتكروا طريقة جديدة لمعاملته كأحمق
شاهد النسخة الأصليةرد0
LayerZeroHero
· 08-08 15:38
لقد اكتشفنا ناقل الهجوم آخر بعد إجراء أكثر من 1600 اختبار، وقد ثبت أن هذه الثغرة خطيرة للغاية.
شاهد النسخة الأصليةرد0
CryptoAdventurer
· 08-08 15:28
مرة أخرى فرصة لدفع ضريبة الذكاء لنرى من سيخدع الناس لتحقيق الربح أولاً
شاهد النسخة الأصليةرد0
TaxEvader
· 08-08 15:18
لقد قيل من قبل لا تلمس المحفظة التي لم تكن مفتوحة المصدر
شاهد النسخة الأصليةرد0
UnluckyLemur
· 08-08 15:09
المخادع القديم حمقى الذي تعرض للخداع مرة واحدة الآن يحذر من كل شيء
تطبيقات المحفظة المحمولة Web3 تواجه هجمات تصيد موجهة، يجب على المستخدمين توخي الحذر من تضليل جديد.
Web3.0 محفظة الهاتف المحمول الجديدة تضليل: هجوم التصيد النمطي
مؤخراً، اكتشفنا تقنية جديدة للاحتيال عبر الإنترنت تستهدف المحفظة المحمولة Web3.0، وقد تؤدي هذه التقنية إلى تضليل المستخدمين عند اتصالهم بالتطبيقات اللامركزية (DApp). نحن نسمي هذه التقنية الجديدة للاحتيال عبر الإنترنت "هجوم الاحتيال النمطي" (Modal Phishing).
في هذا الهجوم، يمكن للقراصنة إرسال معلومات مزورة إلى المحفظة المحمولة، منتحلين DApp شرعي، من خلال عرض معلومات مضللة في نافذة المحفظة النموذجية لإغراء المستخدمين بالموافقة على الصفقة. حاليًا، تُستخدم هذه التقنية في التصيد الاحتيالي على نطاق واسع. لقد تواصلنا مع مطوري المكونات المعنية، الذين أفادوا أنهم سيصدرون واجهة برمجة تطبيقات تحقق جديدة لتقليل هذه المخاطر.
مبدأ هجمات تصيد النمط
عند إجراء بحث أمني حول المحفظة المحمولة، لاحظنا أن بعض عناصر واجهة المستخدم (UI) في محفظة التشفير Web3.0 قد تكون تحت سيطرة المهاجمين، مما يسهل تنفيذ هجمات التصيد. يُطلق عليها اسم تصيد النمط، لأن المهاجمين يستهدفون بشكل رئيسي النوافذ النمطية للمحفظة التشفيرية.
نافذة نمطية هي عنصر واجهة مستخدم شائع في تطبيقات الهاتف المحمول، وغالبًا ما تظهر في الجزء العلوي من نافذة التطبيق الرئيسية. يتم استخدام هذا التصميم عادةً لتسهيل على المستخدمين تنفيذ إجراءات سريعة، مثل الموافقة أو رفض طلبات معاملات المحفظة المشفرة Web3.0. يوفر تصميم نافذة المحفظة المشفرة Web3.0 النمطية عادةً معلومات المعاملة الضرورية لفحص المستخدم، بالإضافة إلى أزرار للموافقة أو رفض الطلب.
ومع ذلك، قد يتحكم المهاجمون في هذه العناصر واجهة المستخدم، لاستخدامها في تنفيذ هجمات التصيد الاحتيالي المتغيرة. يمكن للمهاجمين تغيير تفاصيل المعاملات، وتزييف طلبات المعاملات على أنها طلبات تحديث أمان من مصادر موثوقة، لخداع المستخدمين للموافقة.
حالتان نموذجيتان لهجوم الصيد الاحتيالي
الحالة 1: هجوم تصيد عبر Wallet Connect على DApp
Wallet Connect هو بروتوكول مفتوح المصدر يحظى بشعبية كبيرة، يُستخدم لربط محفظة المستخدم بتطبيقات DApp من خلال رمز الاستجابة السريعة أو الروابط العميقة. خلال عملية الاقتران بين المحفظة ومحافظ Web3.0 والتطبيقات DApp، ستظهر المحفظة نافذة منبثقة تعرض معلومات التعريف الخاصة بطلب الاقتران الوارد، بما في ذلك اسم DApp، عنوان الموقع، الأيقونة، والوصف.
ومع ذلك، فإن هذه المعلومات مقدمة من DApp، والمحفظة لا تتحقق من صحتها. في هجمات التصيد، يمكن للمهاجم انتحال DApp شرعي، مما يُغري المستخدمين بالاتصال به. يمكن للمهاجم التحكم في عناصر واجهة معلومات DApp (مثل الاسم، الأيقونة، إلخ)، مما يخدع المستخدمين للموافقة على المعاملات الواردة.
الحالة 2: التصيد الاحتيالي لمعلومات العقد الذكي عبر MetaMask
في نافذة مودال الموافقة على المعاملات في MetaMask، بالإضافة إلى معلومات DApp، هناك عنصر واجهة مستخدم يعرض نوع المعاملة. سيقوم MetaMask بقراءة بايتات توقيع العقد الذكي، واستخدام سجل طرق السلسلة للاستعلام عن اسم الطريقة المعنية. ومع ذلك، قد يستغل المهاجمون ذلك أيضًا.
يمكن للمهاجمين إنشاء عقد ذكي للتصيد يتضمن دالة تسمى "SecurityUpdate" ويقومون بتسجيلها كسلسلة قابلة للقراءة البشرية. عندما يقوم MetaMask بتحليل هذا العقد الذكي للتصيد، فإنه يقدم اسم هذه الدالة للمستخدم في نموذج الموافقة، مما يجعل المعاملة تبدو وكأنها طلب تحديث أمني.
اقتراحات الحماية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات الواردة من الخارج غير موثوقة، وأن يختاروا بعناية المعلومات التي سيعرضونها للمستخدمين، والتحقق من شرعية هذه المعلومات.
يجب على المستخدم أن يكون حذرًا من كل طلبات المعاملات غير المعروفة وأن لا يثق بسهولة في المعلومات المعروضة في نافذة النماذج.
ينبغي لمطوري بروتوكولات مثل Wallet Connect أن يأخذوا بعين الاعتبار التحقق المسبق من صحة وشرعية معلومات DApp.
يجب على مطوري تطبيقات المحفظة اتخاذ تدابير وقائية لتصفية الكلمات التي قد تُستخدم في هجمات التصيد.
بشكل عام، السبب الجذري لهجمات الصيد المودالية هو أن تطبيقات المحفظة لم تتحقق بشكل كامل من شرعية عناصر واجهة المستخدم المقدمة. لضمان أمان نظام Web3.0، يحتاج المطورون والمستخدمون إلى أن يكونوا يقظين واتخاذ التدابير الوقائية اللازمة.