Web3.0 Ví tiền mới trò lừa bịp: tấn công lừa đảo mô hình
Gần đây, chúng tôi đã phát hiện ra một loại kỹ thuật lừa đảo mới nhằm vào Ví tiền di động Web3.0, kỹ thuật này có thể khiến người dùng đưa ra quyết định sai lầm khi kết nối với các ứng dụng phi tập trung (DApp). Chúng tôi đã đặt tên cho loại kỹ thuật lừa đảo mới này là "tấn công lừa đảo mô hình" (Modal Phishing).
Trong cuộc tấn công này, hacker có thể gửi thông tin giả mạo đến Ví tiền di động, mạo danh DApp hợp pháp, và lừa người dùng chấp thuận giao dịch bằng cách hiển thị thông tin gây hiểu lầm trong cửa sổ mô hình của Ví tiền. Hiện tại, kỹ thuật lừa đảo qua mạng này đang được sử dụng rộng rãi. Chúng tôi đã liên hệ với các nhà phát triển thành phần liên quan, họ cho biết sẽ phát hành API xác thực mới để giảm thiểu rủi ro này.
Nguyên lý của cuộc tấn công lừa đảo mô-đun
Trong quá trình nghiên cứu an ninh của ví tiền di động, chúng tôi đã nhận thấy rằng một số yếu tố giao diện người dùng (UI) của ví tiền điện tử Web3.0 có thể bị kẻ tấn công kiểm soát, từ đó thực hiện các cuộc tấn công lừa đảo. Được gọi là lừa đảo mô-đun, vì kẻ tấn công chủ yếu nhắm vào cửa sổ mô-đun của ví tiền điện tử.
Cửa sổ mô-đun là một yếu tố UI thường thấy trong các ứng dụng di động, thường hiển thị ở đầu cửa sổ chính của ứng dụng. Thiết kế này thường được sử dụng để giúp người dùng thực hiện các thao tác nhanh chóng, chẳng hạn như chấp thuận hoặc từ chối yêu cầu giao dịch của ví tiền Web3.0. Thiết kế cửa sổ mô-đun của ví tiền Web3.0 thường cung cấp thông tin giao dịch cần thiết để người dùng kiểm tra, cũng như các nút để chấp thuận hoặc từ chối yêu cầu.
Tuy nhiên, những yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát, được sử dụng để thực hiện các cuộc tấn công lừa đảo theo mô hình. Kẻ tấn công có thể thay đổi chi tiết giao dịch, giả mạo yêu cầu giao dịch thành một yêu cầu cập nhật an toàn từ nguồn đáng tin cậy để dụ dỗ người dùng chấp thuận.
Hai trường hợp điển hình về tấn công lừa đảo theo mô hình
Trường hợp 1: Tấn công lừa đảo DApp thông qua Wallet Connect
Wallet Connect là một giao thức mã nguồn mở được ưa chuộng, dùng để kết nối ví của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối ví tiền mã hóa và DApp trong Web3.0, ví sẽ hiển thị một cửa sổ mô-đun, trình bày thông tin meta của yêu cầu ghép nối đến, bao gồm tên DApp, địa chỉ website, biểu tượng và mô tả.
Tuy nhiên, thông tin này được cung cấp bởi DApp, Ví tiền không xác minh tính xác thực của nó. Trong các cuộc tấn công lừa đảo, kẻ tấn công có thể giả mạo DApp hợp pháp, lừa người dùng kết nối với nó. Kẻ tấn công có thể kiểm soát các yếu tố giao diện thông tin DApp (như tên, biểu tượng, v.v.), từ đó lừa người dùng chấp thuận các giao dịch đến.
Trường hợp 2: Lừa đảo thông tin hợp đồng thông minh qua MetaMask
Trong cửa sổ mô hình phê duyệt giao dịch của MetaMask, bên cạnh thông tin DApp, còn có một yếu tố giao diện người dùng hiển thị loại giao dịch. MetaMask sẽ đọc các byte chữ ký của hợp đồng thông minh và sử dụng bảng tra cứu phương pháp trên chuỗi để truy vấn tên phương pháp tương ứng. Tuy nhiên, điều này cũng có thể bị kẻ tấn công lợi dụng.
Kẻ tấn công có thể tạo ra một hợp đồng thông minh lừa đảo, trong đó có một hàm có tên "SecurityUpdate", và đăng ký nó dưới dạng một chuỗi có thể đọc được bởi con người. Khi MetaMask phân tích hợp đồng thông minh lừa đảo này, nó sẽ hiển thị tên hàm này cho người dùng trong mô-đun phê duyệt, làm cho giao dịch trông giống như một yêu cầu cập nhật bảo mật.
Đề xuất phòng ngừa
Các nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu đầu vào từ bên ngoài là không đáng tin cậy, cẩn thận lựa chọn thông tin nào sẽ hiển thị cho người dùng và xác minh tính hợp pháp của thông tin đó.
Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không rõ ràng, không nên dễ dàng tin vào thông tin hiển thị trong cửa sổ mô hình.
Các nhà phát triển giao thức như Wallet Connect nên xem xét việc xác minh trước tính hợp lệ và hợp pháp của thông tin DApp.
Các nhà phát triển ứng dụng Ví tiền nên thực hiện các biện pháp phòng ngừa, lọc các từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
Tóm lại, nguyên nhân cơ bản của cuộc tấn công lừa đảo mô-đun là do ứng dụng ví tiền không xác minh tính hợp pháp của các phần tử giao diện người dùng được trình bày một cách triệt để. Để đảm bảo an toàn cho hệ sinh thái Web3.0, cả nhà phát triển và người dùng đều cần nâng cao cảnh giác và thực hiện các biện pháp bảo vệ cần thiết.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
7
Đăng lại
Chia sẻ
Bình luận
0/400
AlgoAlchemist
· 13giờ trước
Ôi trời ơi, lần này tôi lỗ nặng rồi.
Xem bản gốcTrả lời0
MetaverseLandlord
· 08-08 15:39
Ôi trời ơi, bọn lừa đảo này cũng theo kịp nhịp điệu Web3 rồi, thật là quá đáng!
Xem bản gốcTrả lời0
ser_ngmi
· 08-08 15:38
Hả, lại làm trò mới để lừa đồ ngốc.
Xem bản gốcTrả lời0
LayerZeroHero
· 08-08 15:38
Lại phát hiện một vectơ tấn công nữa, đã thực hiện hơn 1600 giao dịch thử nghiệm, sự thật chứng minh lỗ hổng này quá nguy hiểm.
Xem bản gốcTrả lời0
CryptoAdventurer
· 08-08 15:28
Lại một lần nữa có cơ hội đóng thuế IQ, xem ai chơi đùa với mọi người trước.
Xem bản gốcTrả lời0
TaxEvader
· 08-08 15:18
Đã nói rồi, đừng động vào Ví tiền mà không mở mã nguồn.
Xem bản gốcTrả lời0
UnluckyLemur
· 08-08 15:09
Bị lừa một lần, đồ ngốc giờ nhìn cái gì cũng cảnh giác.
Ví tiền di động Web3遭遇 tấn công lừa đảo mô hình, người dùng cần cảnh giác với trò lừa bịp mới.
Web3.0 Ví tiền mới trò lừa bịp: tấn công lừa đảo mô hình
Gần đây, chúng tôi đã phát hiện ra một loại kỹ thuật lừa đảo mới nhằm vào Ví tiền di động Web3.0, kỹ thuật này có thể khiến người dùng đưa ra quyết định sai lầm khi kết nối với các ứng dụng phi tập trung (DApp). Chúng tôi đã đặt tên cho loại kỹ thuật lừa đảo mới này là "tấn công lừa đảo mô hình" (Modal Phishing).
Trong cuộc tấn công này, hacker có thể gửi thông tin giả mạo đến Ví tiền di động, mạo danh DApp hợp pháp, và lừa người dùng chấp thuận giao dịch bằng cách hiển thị thông tin gây hiểu lầm trong cửa sổ mô hình của Ví tiền. Hiện tại, kỹ thuật lừa đảo qua mạng này đang được sử dụng rộng rãi. Chúng tôi đã liên hệ với các nhà phát triển thành phần liên quan, họ cho biết sẽ phát hành API xác thực mới để giảm thiểu rủi ro này.
Nguyên lý của cuộc tấn công lừa đảo mô-đun
Trong quá trình nghiên cứu an ninh của ví tiền di động, chúng tôi đã nhận thấy rằng một số yếu tố giao diện người dùng (UI) của ví tiền điện tử Web3.0 có thể bị kẻ tấn công kiểm soát, từ đó thực hiện các cuộc tấn công lừa đảo. Được gọi là lừa đảo mô-đun, vì kẻ tấn công chủ yếu nhắm vào cửa sổ mô-đun của ví tiền điện tử.
Cửa sổ mô-đun là một yếu tố UI thường thấy trong các ứng dụng di động, thường hiển thị ở đầu cửa sổ chính của ứng dụng. Thiết kế này thường được sử dụng để giúp người dùng thực hiện các thao tác nhanh chóng, chẳng hạn như chấp thuận hoặc từ chối yêu cầu giao dịch của ví tiền Web3.0. Thiết kế cửa sổ mô-đun của ví tiền Web3.0 thường cung cấp thông tin giao dịch cần thiết để người dùng kiểm tra, cũng như các nút để chấp thuận hoặc từ chối yêu cầu.
Tuy nhiên, những yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát, được sử dụng để thực hiện các cuộc tấn công lừa đảo theo mô hình. Kẻ tấn công có thể thay đổi chi tiết giao dịch, giả mạo yêu cầu giao dịch thành một yêu cầu cập nhật an toàn từ nguồn đáng tin cậy để dụ dỗ người dùng chấp thuận.
Hai trường hợp điển hình về tấn công lừa đảo theo mô hình
Trường hợp 1: Tấn công lừa đảo DApp thông qua Wallet Connect
Wallet Connect là một giao thức mã nguồn mở được ưa chuộng, dùng để kết nối ví của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối ví tiền mã hóa và DApp trong Web3.0, ví sẽ hiển thị một cửa sổ mô-đun, trình bày thông tin meta của yêu cầu ghép nối đến, bao gồm tên DApp, địa chỉ website, biểu tượng và mô tả.
Tuy nhiên, thông tin này được cung cấp bởi DApp, Ví tiền không xác minh tính xác thực của nó. Trong các cuộc tấn công lừa đảo, kẻ tấn công có thể giả mạo DApp hợp pháp, lừa người dùng kết nối với nó. Kẻ tấn công có thể kiểm soát các yếu tố giao diện thông tin DApp (như tên, biểu tượng, v.v.), từ đó lừa người dùng chấp thuận các giao dịch đến.
Trường hợp 2: Lừa đảo thông tin hợp đồng thông minh qua MetaMask
Trong cửa sổ mô hình phê duyệt giao dịch của MetaMask, bên cạnh thông tin DApp, còn có một yếu tố giao diện người dùng hiển thị loại giao dịch. MetaMask sẽ đọc các byte chữ ký của hợp đồng thông minh và sử dụng bảng tra cứu phương pháp trên chuỗi để truy vấn tên phương pháp tương ứng. Tuy nhiên, điều này cũng có thể bị kẻ tấn công lợi dụng.
Kẻ tấn công có thể tạo ra một hợp đồng thông minh lừa đảo, trong đó có một hàm có tên "SecurityUpdate", và đăng ký nó dưới dạng một chuỗi có thể đọc được bởi con người. Khi MetaMask phân tích hợp đồng thông minh lừa đảo này, nó sẽ hiển thị tên hàm này cho người dùng trong mô-đun phê duyệt, làm cho giao dịch trông giống như một yêu cầu cập nhật bảo mật.
Đề xuất phòng ngừa
Các nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu đầu vào từ bên ngoài là không đáng tin cậy, cẩn thận lựa chọn thông tin nào sẽ hiển thị cho người dùng và xác minh tính hợp pháp của thông tin đó.
Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không rõ ràng, không nên dễ dàng tin vào thông tin hiển thị trong cửa sổ mô hình.
Các nhà phát triển giao thức như Wallet Connect nên xem xét việc xác minh trước tính hợp lệ và hợp pháp của thông tin DApp.
Các nhà phát triển ứng dụng Ví tiền nên thực hiện các biện pháp phòng ngừa, lọc các từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
Tóm lại, nguyên nhân cơ bản của cuộc tấn công lừa đảo mô-đun là do ứng dụng ví tiền không xác minh tính hợp pháp của các phần tử giao diện người dùng được trình bày một cách triệt để. Để đảm bảo an toàn cho hệ sinh thái Web3.0, cả nhà phát triển và người dùng đều cần nâng cao cảnh giác và thực hiện các biện pháp bảo vệ cần thiết.