Веб 3.0 мобільний гаманець новий тип замилювання очей: модальне фішинг-атака
Нещодавно ми виявили нову техніку фішингу, спрямовану на мобільні гаманці Web3.0, яка може вводити користувачів в оману при підключенні до децентралізованих додатків (DApp). Ми назвали цю нову техніку фішингу "модальна фішинг-атака".
У такій атаці хакери можуть надсилати підроблену інформацію до мобільного гаманця, видаючи себе за законні DApp, і вводячи користувача в оману, показуючи оманливу інформацію в модальному вікні гаманця, щоб спонукати користувача підтвердити транзакцію. Наразі ця технологія фішингу широко використовується. Ми вже спілкувались з розробниками відповідних компонентів, які повідомили, що випустять новий API верифікації, щоб знизити цей ризик.
Принцип модального фішингу
Під час проведення дослідження безпеки мобільних гаманців ми звернули увагу на те, що деякі елементи інтерфейсу користувача (UI) крипто-гаманців Веб 3.0 можуть бути під контролем зловмисників, що дозволяє їм здійснювати фішингові атаки. Це називається модальним фішингом, оскільки зловмисники в основному намагаються маніпулювати модальними вікнами крипто-гаманців.
Модальне вікно є поширеним елементом інтерфейсу в мобільних додатках, зазвичай відображається у верхній частині головного вікна програми. Такий дизайн часто використовується для зручності виконання швидких дій, таких як схвалення або відхилення запиту на транзакцію з криптогаманець Веб 3.0. Типове проектування модального вікна криптогаманця Веб 3.0 зазвичай надає необхідну інформацію про транзакцію для перевірки користувачем, а також кнопки для схвалення або відхилення запиту.
Однак ці елементи інтерфейсу можуть бути контрольовані зловмисниками для здійснення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакцій, маскуючи запити на транзакції під безпечні запити на оновлення, що надходять з надійних джерел, щоб спонукати користувачів схвалити їх.
Два типових випадки модального фішингу
Приклад 1: Фішинг-атака DApp через Гаманець Connect
Гаманець Connect є популярним відкритим протоколом, який використовується для з'єднання гаманець користувача з DApp через QR-код або глибоке посилання. Під час процесу парування крипто-гаманця та DApp, гаманець відображає модальне вікно, яке показує метадані вхідного запиту на парування, включаючи назву DApp, веб-адресу, значок та опис.
Проте ця інформація надається DApp, гаманець не перевіряє її достовірність. Під час фішингових атак зловмисники можуть видавати себе за легітимний DApp, спокушаючи користувачів підключитися до них. Зловмисники можуть контролювати елементи UI інформації DApp (такі як назва, значок тощо), що дозволяє їм обманювати користувачів, щоб ті схвалювали вхідні транзакції.
Приклад 2: Фішинг інформації про смарт-контракти через MetaMask
У модальному вікні затвердження транзакції MetaMask, крім інформації про DApp, є UI-елемент, що показує тип транзакції. MetaMask зчитує байти підпису смарт-контракту і використовує реєстр методів на ланцюгу для запиту відповідної назви методу. Однак це також може бути використано зловмисниками.
Атакуючи можуть створити фішинговий смарт-контракт, який містить функцію під назвою "SecurityUpdate" і реєструє її як зрозумілий людині рядок. Коли MetaMask аналізує цей фішинговий смарт-контракт, він представляє назву цієї функції користувачеві у модальному вікні затвердження, змушуючи угоду виглядати як запит на безпечне оновлення.
Рекомендації щодо запобігання
Розробники додатків для Гаманець повинні завжди вважати, що дані, які надходять ззовні, ненадійні, ретельно вибираючи, яку інформацію показувати користувачам, і перевіряючи законність цієї інформації.
Користувач повинен бути обережним щодо кожного невідомого запиту на транзакцію і не довіряти легко інформації, що відображається в модальному вікні.
Розробники протоколів, таких як Wallet Connect, повинні розглянути можливість попередньої перевірки дійсності та законності інформації DApp.
Розробники гаманець застосунків повинні вжити запобіжних заходів, фільтруючи слова, які можуть бути використані для фішингових атак.
Отже, основна причина модальних фішингових атак полягає в тому, що гаманець не перевіряє належним чином легітимність представлених елементів інтерфейсу. Щоб забезпечити безпеку екосистеми Веб 3.0, розробники та користувачі повинні бути насторожі та вжити необхідних запобіжних заходів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
7
Репост
Поділіться
Прокоментувати
0/400
AlgoAlchemist
· 17год тому
О, боже, я тут втратив гроші.
Переглянути оригіналвідповісти на0
MetaverseLandlord
· 08-08 15:39
Ой, цей шахрай вже встиг слідувати ритму Web3. Йди сюди.
Переглянути оригіналвідповісти на0
ser_ngmi
· 08-08 15:38
Га, знову вигадали новий трюк, щоб грати за невдах
Переглянути оригіналвідповісти на0
LayerZeroHero
· 08-08 15:38
Знову виявлено вектор атаки. Проведено понад 1600 тестів. Факт доводить, що ця уразливість надто небезпечна.
Переглянути оригіналвідповісти на0
CryptoAdventurer
· 08-08 15:28
Ще одна можливість сплатити податок на IQ. Подивимось, хто перший обдурюватиме людей, як лохів.
Переглянути оригіналвідповісти на0
TaxEvader
· 08-08 15:18
Раніше сказав, що до гаманець з закритим вихідним кодом не варто торкатися.
Переглянути оригіналвідповісти на0
UnluckyLemur
· 08-08 15:09
Обдурений раз невдаха тепер насторожено ставиться до всього.
Web3 мобільний гаманець зазнав модального фішинг-атаки. Користувачам слід бути обережними з новими видами замилювання очей.
Веб 3.0 мобільний гаманець новий тип замилювання очей: модальне фішинг-атака
Нещодавно ми виявили нову техніку фішингу, спрямовану на мобільні гаманці Web3.0, яка може вводити користувачів в оману при підключенні до децентралізованих додатків (DApp). Ми назвали цю нову техніку фішингу "модальна фішинг-атака".
У такій атаці хакери можуть надсилати підроблену інформацію до мобільного гаманця, видаючи себе за законні DApp, і вводячи користувача в оману, показуючи оманливу інформацію в модальному вікні гаманця, щоб спонукати користувача підтвердити транзакцію. Наразі ця технологія фішингу широко використовується. Ми вже спілкувались з розробниками відповідних компонентів, які повідомили, що випустять новий API верифікації, щоб знизити цей ризик.
Принцип модального фішингу
Під час проведення дослідження безпеки мобільних гаманців ми звернули увагу на те, що деякі елементи інтерфейсу користувача (UI) крипто-гаманців Веб 3.0 можуть бути під контролем зловмисників, що дозволяє їм здійснювати фішингові атаки. Це називається модальним фішингом, оскільки зловмисники в основному намагаються маніпулювати модальними вікнами крипто-гаманців.
Модальне вікно є поширеним елементом інтерфейсу в мобільних додатках, зазвичай відображається у верхній частині головного вікна програми. Такий дизайн часто використовується для зручності виконання швидких дій, таких як схвалення або відхилення запиту на транзакцію з криптогаманець Веб 3.0. Типове проектування модального вікна криптогаманця Веб 3.0 зазвичай надає необхідну інформацію про транзакцію для перевірки користувачем, а також кнопки для схвалення або відхилення запиту.
Однак ці елементи інтерфейсу можуть бути контрольовані зловмисниками для здійснення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакцій, маскуючи запити на транзакції під безпечні запити на оновлення, що надходять з надійних джерел, щоб спонукати користувачів схвалити їх.
Два типових випадки модального фішингу
Приклад 1: Фішинг-атака DApp через Гаманець Connect
Гаманець Connect є популярним відкритим протоколом, який використовується для з'єднання гаманець користувача з DApp через QR-код або глибоке посилання. Під час процесу парування крипто-гаманця та DApp, гаманець відображає модальне вікно, яке показує метадані вхідного запиту на парування, включаючи назву DApp, веб-адресу, значок та опис.
Проте ця інформація надається DApp, гаманець не перевіряє її достовірність. Під час фішингових атак зловмисники можуть видавати себе за легітимний DApp, спокушаючи користувачів підключитися до них. Зловмисники можуть контролювати елементи UI інформації DApp (такі як назва, значок тощо), що дозволяє їм обманювати користувачів, щоб ті схвалювали вхідні транзакції.
Приклад 2: Фішинг інформації про смарт-контракти через MetaMask
У модальному вікні затвердження транзакції MetaMask, крім інформації про DApp, є UI-елемент, що показує тип транзакції. MetaMask зчитує байти підпису смарт-контракту і використовує реєстр методів на ланцюгу для запиту відповідної назви методу. Однак це також може бути використано зловмисниками.
Атакуючи можуть створити фішинговий смарт-контракт, який містить функцію під назвою "SecurityUpdate" і реєструє її як зрозумілий людині рядок. Коли MetaMask аналізує цей фішинговий смарт-контракт, він представляє назву цієї функції користувачеві у модальному вікні затвердження, змушуючи угоду виглядати як запит на безпечне оновлення.
Рекомендації щодо запобігання
Розробники додатків для Гаманець повинні завжди вважати, що дані, які надходять ззовні, ненадійні, ретельно вибираючи, яку інформацію показувати користувачам, і перевіряючи законність цієї інформації.
Користувач повинен бути обережним щодо кожного невідомого запиту на транзакцію і не довіряти легко інформації, що відображається в модальному вікні.
Розробники протоколів, таких як Wallet Connect, повинні розглянути можливість попередньої перевірки дійсності та законності інформації DApp.
Розробники гаманець застосунків повинні вжити запобіжних заходів, фільтруючи слова, які можуть бути використані для фішингових атак.
Отже, основна причина модальних фішингових атак полягає в тому, що гаманець не перевіряє належним чином легітимність представлених елементів інтерфейсу. Щоб забезпечити безпеку екосистеми Веб 3.0, розробники та користувачі повинні бути насторожі та вжити необхідних запобіжних заходів.