مخاطر الأمان الجديدة لمحفظة Web3.0 المحمولة: هجمات التصيد الاحتيالي النمطية
مؤخراً، اكتشف خبراء الأمن تقنية جديدة للاصطياد، قد تضلل المستخدمين خلال عملية التحقق من الهوية المتصلة بالتطبيقات اللامركزية (DApp). وقد تم تسمية هذا الهجوم الجديد بـ "هجوم الاصطياد النمطي" (Modal Phishing).
يمكن للمهاجمين إرسال معلومات مزيفة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي، ومن خلال عرض معلومات مضللة في نافذة المحفظة، يمكنهم خداع المستخدمين للموافقة على الصفقة. تُستخدم هذه التقنية في phishing على نطاق واسع. وقد أكد مطورو المكونات ذات الصلة أنهم سيصدرون واجهة برمجة تطبيقات تحقق جديدة لتقليل هذا الخطر.
مبدأ هجوم اصطياد النوافذ
في دراسة أمان المحفظة المحمولة، لاحظ الخبراء أن بعض عناصر واجهة المستخدم لمحفظة Web3.0 المشفرة (UI) يمكن أن يتم التحكم فيها من قبل المهاجمين لاستخدامها في هجمات التصيد. يُطلق على ذلك اسم التصيد النموذجي لأن المهاجمين يستهدفون بشكل أساسي النوافذ النموذجية للمحفظة المشفرة.
تُعتبر نافذة الوضع من العناصر الشائعة في واجهة المستخدم لتطبيقات الهاتف المحمول، وعادةً ما تظهر في الجزء العلوي من النافذة الرئيسية، وذلك لتسهيل تنفيذ العمليات السريعة من قبل المستخدم، مثل الموافقة/الرفض على طلبات المعاملات من المحفظة في Web3.0. عادةً ما يوفر تصميم نافذة الوضع الخاصة بمحفظة Web3.0 المعلومات اللازمة للطلب ليتحقق منها المستخدم، بالإضافة إلى أزرار الموافقة أو الرفض.
ومع ذلك، قد يتمكن المهاجمون من التحكم في هذه العناصر المرئية لشن هجمات تصيد احتيالي نموذجية. يمكن للمهاجمين تغيير تفاصيل المعاملات، وتزييف طلبات المعاملات على أنها طلبات "تحديث آمن" من مصادر موثوقة، لخداع المستخدمين للموافقة.
حالات الهجوم النموذجية
1. هجوم تصيد الاحتيال على التطبيقات اللامركزية عبر Wallet Connect
بروتوكول Wallet Connect هو بروتوكول مفتوح المصدر شائع يستخدم لربط محفظة المستخدم مع DApp من خلال رمز الاستجابة السريعة أو روابط عميقة. خلال عملية الاقتران، ستظهر محفظة Web3.0 نافذة منبثقة تعرض معلومات التعريف الخاصة بطلب الاقتران الوارد، بما في ذلك اسم DApp، وعنوان الموقع، والرسم البياني، والوصف.
ومع ذلك، فإن هذه المعلومات مقدمة من DApp، ولا يتحقق المحفظة من صحتها. يمكن للمهاجمين انتحال صفة DApp شرعية، لخداع المستخدمين للاتصال بها. أثناء عملية الاقتران، ستظهر نافذة نمطية في المحفظة تعرض معلومات DApp تبدو شرعية، مما يزيد من مصداقية الهجوم.
2. من خلال محفظة تشفير معينة للقيام بصيد معلومات العقود الذكية
في بعض أوضاع الموافقة على المحفظة المشفرة، سيتم عرض سلسلة لتحديد نوع المعاملة. ستقوم المحفظة بقراءة بايت التوقيع لعقد ذكي وتستخدم استعلام سجل الطرق على السلسلة لتحديد اسم الطريقة المناسب. ومع ذلك، فإن هذا يوفر أيضًا عنصر واجهة مستخدم آخر يمكن للمهاجمين التحكم فيه.
يمكن للمهاجمين إنشاء عقد ذكي للتصيد الاحتيالي، حيث يتم تسجيل اسم الدالة كـ "SecurityUpdate" وغيرها من السلاسل المضللة. عند قيام المحفظة بتحليل هذا العقد الذكي للتصيد، ستظهر للمستخدم اسم الدالة الذي يبدو موثوقًا به في وضع الموافقة.
نصائح للوقاية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات الواردة من الخارج غير موثوقة، وأن يختاروا بعناية المعلومات التي يتم عرضها للمستخدمين، والتحقق من شرعية هذه المعلومات.
يجب على المستخدمين توخي الحذر بشأن كل طلب معاملة غير معروف، وعدم الثقة بسهولة في التحديثات أو طلبات الأمان التي تبدو وكأنها من مصادر موثوقة.
يجب على مطوري بروتوكولات مثل Wallet Connect النظر في التحقق من صحة وشرعية معلومات DApp مسبقًا.
يجب على تطبيق المحفظة اتخاذ تدابير وقائية، لتصفية الكلمات التي قد تستخدم في هجمات التصيد.
بشكل عام، قد يتمكن المهاجمون من التلاعب ببعض عناصر واجهة المستخدم في نافذة الوضع لمحفظة Web3.0، مما يخلق فخاخ تصيد احتيالي خادعة للغاية. يجب على المستخدمين والمطورين أن يكونوا يقظين للعمل معًا للحفاظ على أمان بيئة Web3.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 19
أعجبني
19
5
مشاركة
تعليق
0/400
MemeKingNFT
· 07-31 21:15
أه؟ تم إنزال الخطاف، والمتعة بدأت، الحمقى لا بد أن يزرعوا...
Web3المحفظة الجديدة تهديدات: هجمات تصيد عبر النماذج تقترب
مخاطر الأمان الجديدة لمحفظة Web3.0 المحمولة: هجمات التصيد الاحتيالي النمطية
مؤخراً، اكتشف خبراء الأمن تقنية جديدة للاصطياد، قد تضلل المستخدمين خلال عملية التحقق من الهوية المتصلة بالتطبيقات اللامركزية (DApp). وقد تم تسمية هذا الهجوم الجديد بـ "هجوم الاصطياد النمطي" (Modal Phishing).
يمكن للمهاجمين إرسال معلومات مزيفة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي، ومن خلال عرض معلومات مضللة في نافذة المحفظة، يمكنهم خداع المستخدمين للموافقة على الصفقة. تُستخدم هذه التقنية في phishing على نطاق واسع. وقد أكد مطورو المكونات ذات الصلة أنهم سيصدرون واجهة برمجة تطبيقات تحقق جديدة لتقليل هذا الخطر.
مبدأ هجوم اصطياد النوافذ
في دراسة أمان المحفظة المحمولة، لاحظ الخبراء أن بعض عناصر واجهة المستخدم لمحفظة Web3.0 المشفرة (UI) يمكن أن يتم التحكم فيها من قبل المهاجمين لاستخدامها في هجمات التصيد. يُطلق على ذلك اسم التصيد النموذجي لأن المهاجمين يستهدفون بشكل أساسي النوافذ النموذجية للمحفظة المشفرة.
تُعتبر نافذة الوضع من العناصر الشائعة في واجهة المستخدم لتطبيقات الهاتف المحمول، وعادةً ما تظهر في الجزء العلوي من النافذة الرئيسية، وذلك لتسهيل تنفيذ العمليات السريعة من قبل المستخدم، مثل الموافقة/الرفض على طلبات المعاملات من المحفظة في Web3.0. عادةً ما يوفر تصميم نافذة الوضع الخاصة بمحفظة Web3.0 المعلومات اللازمة للطلب ليتحقق منها المستخدم، بالإضافة إلى أزرار الموافقة أو الرفض.
ومع ذلك، قد يتمكن المهاجمون من التحكم في هذه العناصر المرئية لشن هجمات تصيد احتيالي نموذجية. يمكن للمهاجمين تغيير تفاصيل المعاملات، وتزييف طلبات المعاملات على أنها طلبات "تحديث آمن" من مصادر موثوقة، لخداع المستخدمين للموافقة.
حالات الهجوم النموذجية
1. هجوم تصيد الاحتيال على التطبيقات اللامركزية عبر Wallet Connect
بروتوكول Wallet Connect هو بروتوكول مفتوح المصدر شائع يستخدم لربط محفظة المستخدم مع DApp من خلال رمز الاستجابة السريعة أو روابط عميقة. خلال عملية الاقتران، ستظهر محفظة Web3.0 نافذة منبثقة تعرض معلومات التعريف الخاصة بطلب الاقتران الوارد، بما في ذلك اسم DApp، وعنوان الموقع، والرسم البياني، والوصف.
ومع ذلك، فإن هذه المعلومات مقدمة من DApp، ولا يتحقق المحفظة من صحتها. يمكن للمهاجمين انتحال صفة DApp شرعية، لخداع المستخدمين للاتصال بها. أثناء عملية الاقتران، ستظهر نافذة نمطية في المحفظة تعرض معلومات DApp تبدو شرعية، مما يزيد من مصداقية الهجوم.
2. من خلال محفظة تشفير معينة للقيام بصيد معلومات العقود الذكية
في بعض أوضاع الموافقة على المحفظة المشفرة، سيتم عرض سلسلة لتحديد نوع المعاملة. ستقوم المحفظة بقراءة بايت التوقيع لعقد ذكي وتستخدم استعلام سجل الطرق على السلسلة لتحديد اسم الطريقة المناسب. ومع ذلك، فإن هذا يوفر أيضًا عنصر واجهة مستخدم آخر يمكن للمهاجمين التحكم فيه.
يمكن للمهاجمين إنشاء عقد ذكي للتصيد الاحتيالي، حيث يتم تسجيل اسم الدالة كـ "SecurityUpdate" وغيرها من السلاسل المضللة. عند قيام المحفظة بتحليل هذا العقد الذكي للتصيد، ستظهر للمستخدم اسم الدالة الذي يبدو موثوقًا به في وضع الموافقة.
نصائح للوقاية
يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات الواردة من الخارج غير موثوقة، وأن يختاروا بعناية المعلومات التي يتم عرضها للمستخدمين، والتحقق من شرعية هذه المعلومات.
يجب على المستخدمين توخي الحذر بشأن كل طلب معاملة غير معروف، وعدم الثقة بسهولة في التحديثات أو طلبات الأمان التي تبدو وكأنها من مصادر موثوقة.
يجب على مطوري بروتوكولات مثل Wallet Connect النظر في التحقق من صحة وشرعية معلومات DApp مسبقًا.
يجب على تطبيق المحفظة اتخاذ تدابير وقائية، لتصفية الكلمات التي قد تستخدم في هجمات التصيد.
بشكل عام، قد يتمكن المهاجمون من التلاعب ببعض عناصر واجهة المستخدم في نافذة الوضع لمحفظة Web3.0، مما يخلق فخاخ تصيد احتيالي خادعة للغاية. يجب على المستخدمين والمطورين أن يكونوا يقظين للعمل معًا للحفاظ على أمان بيئة Web3.