# ウェブ3.0モバイルウォレット新型セキュリティリスク:モーダルフィッシング攻撃最近、安全専門家は新しいタイプのフィッシング技術を発見しました。この技術は、分散型アプリ(DApp)の認証プロセス中にユーザーを誤解させる可能性があります。この新しい攻撃は「モーダルフィッシング攻撃」と名付けられました(Modal Phishing)。攻撃者はモバイルウォレットに偽の情報を送信し、正当なDAppを偽装し、ウォレットのモーダルウィンドウに誤解を招く情報を表示することで、ユーザーに取引の承認を促すことができます。このフィッシング技術は広く使用されています。関連コンポーネントの開発者は、このリスクを低減するために新しい検証APIをリリースすることを確認しました。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## モダリティフィッシング攻撃の原理モバイルウォレットのセキュリティ研究において、専門家はウェブ3.0暗号ウォレットのいくつかのユーザーインターフェース(UI)要素が攻撃者によって制御され、フィッシング攻撃に利用される可能性があることに注意しました。モーダルフィッシングと呼ばれる理由は、攻撃者が主に暗号ウォレットのモーダルウィンドウをターゲットにして操作を行うためです。モーダルウィンドウは、モバイルアプリケーションでよく使用されるUI要素で、通常はメインウィンドウの上部に表示され、ユーザーが迅速な操作を実行できるようにします。例えば、ウェブ3.0ウォレットの取引リクエストを承認/拒否するためです。典型的なウェブ3.0ウォレットのモーダルデザインは、ユーザーが確認するための必要なリクエスト情報と、承認または拒否のボタンを提供します。しかし、これらのユーザーインターフェース要素は、攻撃者によって制御され、モーダルフィッシング攻撃に利用される可能性があります。攻撃者は、取引の詳細を変更し、取引リクエストを信頼できるソースからの「安全な更新」リクエストに偽装して、ユーザーに承認を促すことができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)## 典型的な攻撃事例### 1. ウォレットコネクトを通じてDAppフィッシング攻撃ウォレットコネクトプロトコルは、QRコードやディープリンクを使用してユーザーのウォレットをDAppに接続するための広く使用されているオープンソースプロトコルです。ペアリングプロセス中、ウェブ3.0ウォレットはモーダルウィンドウを表示し、DAppの名前、ウェブサイトのアドレス、アイコン、および説明を含む受信したペアリングリクエストのメタ情報を表示します。しかし、これらの情報はDAppによって提供されており、ウォレットはその真偽を検証しません。攻撃者は合法的なDAppを偽装し、ユーザーを誘導して接続させることができます。ペアリングプロセス中、ウォレット内に表示されるモーダルウィンドウは、一見合法的に見えるDAppの情報を提示し、攻撃の信頼性を高めます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)### 2. 特定の暗号ウォレットを通じてスマートコントラクト情報フィッシング特定の暗号ウォレットの承認モーダルでは、取引タイプを識別するための文字列が表示されます。ウォレットはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名をクエリします。しかし、これにより攻撃者には別の制御可能なUI要素が提供されます。攻撃者は、関数名が "SecurityUpdate" などの誤解を招く文字列として登録されたフィッシングスマートコントラクトを作成することができます。ウォレットがこのフィッシングスマートコントラクトを解釈すると、承認モーダルでユーザーにこの一見信頼できる関数名を提示します。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)## 予防に関する推奨事項1. ウォレットアプリケーションの開発者は常に外部からの入力データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その情報の合法性を確認する必要があります。2. ユーザーは、知らない取引リクエストに対して警戒を怠らず、信頼できるソースからの更新やセキュリティリクエストに見えるものを簡単に信じてはいけません。3. ウォレットコネクトなどのプロトコル開発者は、DApp情報の有効性と合法性を事前に確認することを考慮すべきです。4. ウォレットアプリは、フィッシング攻撃に使用される可能性のある語句をフィルタリングするための予防措置を講じるべきです。要するに、ウェブ3.0暗号ウォレットのモーダルウィンドウ内の特定のUI要素が攻撃者によって操作され、非常に欺瞞的なフィッシングトラップを作り出す可能性があります。ユーザーと開発者は警戒を高め、ウェブ3エコシステムの安全を共に維持する必要があります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)
Web3モバイルウォレットの新たな脅威:モーダルフィッシング攻撃が襲来
ウェブ3.0モバイルウォレット新型セキュリティリスク:モーダルフィッシング攻撃
最近、安全専門家は新しいタイプのフィッシング技術を発見しました。この技術は、分散型アプリ(DApp)の認証プロセス中にユーザーを誤解させる可能性があります。この新しい攻撃は「モーダルフィッシング攻撃」と名付けられました(Modal Phishing)。
攻撃者はモバイルウォレットに偽の情報を送信し、正当なDAppを偽装し、ウォレットのモーダルウィンドウに誤解を招く情報を表示することで、ユーザーに取引の承認を促すことができます。このフィッシング技術は広く使用されています。関連コンポーネントの開発者は、このリスクを低減するために新しい検証APIをリリースすることを確認しました。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
モダリティフィッシング攻撃の原理
モバイルウォレットのセキュリティ研究において、専門家はウェブ3.0暗号ウォレットのいくつかのユーザーインターフェース(UI)要素が攻撃者によって制御され、フィッシング攻撃に利用される可能性があることに注意しました。モーダルフィッシングと呼ばれる理由は、攻撃者が主に暗号ウォレットのモーダルウィンドウをターゲットにして操作を行うためです。
モーダルウィンドウは、モバイルアプリケーションでよく使用されるUI要素で、通常はメインウィンドウの上部に表示され、ユーザーが迅速な操作を実行できるようにします。例えば、ウェブ3.0ウォレットの取引リクエストを承認/拒否するためです。典型的なウェブ3.0ウォレットのモーダルデザインは、ユーザーが確認するための必要なリクエスト情報と、承認または拒否のボタンを提供します。
しかし、これらのユーザーインターフェース要素は、攻撃者によって制御され、モーダルフィッシング攻撃に利用される可能性があります。攻撃者は、取引の詳細を変更し、取引リクエストを信頼できるソースからの「安全な更新」リクエストに偽装して、ユーザーに承認を促すことができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
典型的な攻撃事例
1. ウォレットコネクトを通じてDAppフィッシング攻撃
ウォレットコネクトプロトコルは、QRコードやディープリンクを使用してユーザーのウォレットをDAppに接続するための広く使用されているオープンソースプロトコルです。ペアリングプロセス中、ウェブ3.0ウォレットはモーダルウィンドウを表示し、DAppの名前、ウェブサイトのアドレス、アイコン、および説明を含む受信したペアリングリクエストのメタ情報を表示します。
しかし、これらの情報はDAppによって提供されており、ウォレットはその真偽を検証しません。攻撃者は合法的なDAppを偽装し、ユーザーを誘導して接続させることができます。ペアリングプロセス中、ウォレット内に表示されるモーダルウィンドウは、一見合法的に見えるDAppの情報を提示し、攻撃の信頼性を高めます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
2. 特定の暗号ウォレットを通じてスマートコントラクト情報フィッシング
特定の暗号ウォレットの承認モーダルでは、取引タイプを識別するための文字列が表示されます。ウォレットはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名をクエリします。しかし、これにより攻撃者には別の制御可能なUI要素が提供されます。
攻撃者は、関数名が "SecurityUpdate" などの誤解を招く文字列として登録されたフィッシングスマートコントラクトを作成することができます。ウォレットがこのフィッシングスマートコントラクトを解釈すると、承認モーダルでユーザーにこの一見信頼できる関数名を提示します。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
予防に関する推奨事項
ウォレットアプリケーションの開発者は常に外部からの入力データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その情報の合法性を確認する必要があります。
ユーザーは、知らない取引リクエストに対して警戒を怠らず、信頼できるソースからの更新やセキュリティリクエストに見えるものを簡単に信じてはいけません。
ウォレットコネクトなどのプロトコル開発者は、DApp情報の有効性と合法性を事前に確認することを考慮すべきです。
ウォレットアプリは、フィッシング攻撃に使用される可能性のある語句をフィルタリングするための予防措置を講じるべきです。
要するに、ウェブ3.0暗号ウォレットのモーダルウィンドウ内の特定のUI要素が攻撃者によって操作され、非常に欺瞞的なフィッシングトラップを作り出す可能性があります。ユーザーと開発者は警戒を高め、ウェブ3エコシステムの安全を共に維持する必要があります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング