Новые типы безопасных рисков мобильного кошелька Веб 3.0: модальные фишинг-атаки
Недавно эксперты по безопасности обнаружили новую технологию фишинга, которая может вводить в заблуждение пользователей во время процесса аутентификации при подключении к децентрализованному приложению (DApp). Эта новая атака получила название "модальная фишинг-атака" (Modal Phishing).
Злоумышленники могут отправлять поддельные сообщения в мобильный Кошелек, выдавая себя за законные DApp, и обманывать пользователей, показывая вводящую в заблуждение информацию в модальном окне Кошелька, чтобы заставить их одобрить транзакцию. Эта техника фишинга широко используется. Разработчики соответствующих компонентов подтвердили, что будут выпущены новые API для верификации, чтобы снизить этот риск.
Принцип атаки с использованием модального фишинга
В ходе исследования безопасности мобильного Кошелька эксперты заметили, что некоторые элементы пользовательского интерфейса Веб 3.0 крипто кошелька (UI) могут быть контролируемы злоумышленниками для проведения фишинговых атак. Это называется модальным фишингом, потому что злоумышленники в основном нацеливаются на модальные окна крипто кошелька.
Модальные окна являются распространёнными элементами UI в мобильных приложениях, которые обычно отображаются поверх главного окна, чтобы облегчить пользователям выполнение быстрых операций, таких как одобрение/отклонение запросов на транзакции в Веб 3.0 Кошельке. Типичный дизайн модального окна для Веб 3.0 Кошелька обычно предоставляет необходимую информацию о запросе для проверки пользователем, а также кнопки для одобрения или отклонения.
Однако эти элементы пользовательского интерфейса могут быть контролируемы злоумышленниками для осуществления модального фишинга. Злоумышленники могут изменять детали транзакции, маскируя запрос на транзакцию под "безопасное обновление", исходящее от надежного источника, чтобы заставить пользователя одобрить его.
Типичные случаи атак
1. Фишинг-атака на DApp через Кошелек Connect
Протокол Wallet Connect — это широко используемый открытый протокол, который позволяет связывать кошелек пользователя с DApp с помощью QR-кода или глубоких ссылок. В процессе сопряжения кошелек Веб 3.0 отображает модальное окно с метаинформацией о входящем запросе на сопряжение, включая название DApp, адрес сайта, значок и описание.
Однако эта информация предоставляется DApp, и Кошелек не проверяет ее подлинность. Злоумышленники могут выдавать себя за легитимные DApp, обманом заставляя пользователей подключаться к ним. В процессе подключения модальное окно, отображаемое внутри Кошелька, будет показывать, казалось бы, легитимную информацию о DApp, что увеличивает доверие к атаке.
2. Фишинг в информационных сетях смарт-контрактов через определенный Кошелек
В некоторых режимах одобрения криптокошельков отображается строка для идентификации типа транзакции. Кошелек считывает байты подписи смарт-контракта и использует метод запроса реестра на блокчейне для поиска соответствующего имени метода. Однако это также предоставляет злоумышленникам еще один управляемый элемент пользовательского интерфейса.
Атакующий может создать фишинговый смарт-контракт, функция которого зарегистрирована под "SecurityUpdate" и другими вводящими в заблуждение строками. Когда Кошелек обрабатывает этот фишинговый смарт-контракт, он представляет пользователю это, казалось бы, надежное имя функции в модальном окне подтверждения.
Рекомендации по предотвращению
Разработчики приложений Кошелек должны всегда предполагать, что внешние входные данные ненадежны, тщательно выбирая, какую информацию показывать пользователям, и проверяя законность этой информации.
Пользователи должны оставаться настороже к каждому неизвестному запросу на транзакцию и не доверять легко обновлениям или запросам безопасности, которые, по-видимому, поступают из надежных источников.
Разработчики протоколов, таких как Wallet Connect, должны учитывать необходимость предварительной проверки действительности и законности информации DApp.
Кошелек должен принимать меры предосторожности, фильтруя слова, которые могут быть использованы для фишинговых атак.
В общем, некоторые элементы UI в модальном окне криптовалютного Кошелька Web3.0 могут быть манипулированы злоумышленниками, создавая крайне обманчивые фишинговые ловушки. Пользователи и разработчики должны быть бдительными и совместно поддерживать безопасность экосистемы Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
19 Лайков
Награда
19
5
Поделиться
комментарий
0/400
MemeKingNFT
· 07-31 21:15
Эй? Крючок уже опущен, веселье началось, неудачники еще должны быть посажены...
Посмотреть ОригиналОтветить0
TokenRationEater
· 07-29 15:40
Не могу понять, что кошелек тоже может быть подделан.
Новая угроза для Web3 мобильных кошельков: атака модального фишинга
Новые типы безопасных рисков мобильного кошелька Веб 3.0: модальные фишинг-атаки
Недавно эксперты по безопасности обнаружили новую технологию фишинга, которая может вводить в заблуждение пользователей во время процесса аутентификации при подключении к децентрализованному приложению (DApp). Эта новая атака получила название "модальная фишинг-атака" (Modal Phishing).
Злоумышленники могут отправлять поддельные сообщения в мобильный Кошелек, выдавая себя за законные DApp, и обманывать пользователей, показывая вводящую в заблуждение информацию в модальном окне Кошелька, чтобы заставить их одобрить транзакцию. Эта техника фишинга широко используется. Разработчики соответствующих компонентов подтвердили, что будут выпущены новые API для верификации, чтобы снизить этот риск.
Принцип атаки с использованием модального фишинга
В ходе исследования безопасности мобильного Кошелька эксперты заметили, что некоторые элементы пользовательского интерфейса Веб 3.0 крипто кошелька (UI) могут быть контролируемы злоумышленниками для проведения фишинговых атак. Это называется модальным фишингом, потому что злоумышленники в основном нацеливаются на модальные окна крипто кошелька.
Модальные окна являются распространёнными элементами UI в мобильных приложениях, которые обычно отображаются поверх главного окна, чтобы облегчить пользователям выполнение быстрых операций, таких как одобрение/отклонение запросов на транзакции в Веб 3.0 Кошельке. Типичный дизайн модального окна для Веб 3.0 Кошелька обычно предоставляет необходимую информацию о запросе для проверки пользователем, а также кнопки для одобрения или отклонения.
Однако эти элементы пользовательского интерфейса могут быть контролируемы злоумышленниками для осуществления модального фишинга. Злоумышленники могут изменять детали транзакции, маскируя запрос на транзакцию под "безопасное обновление", исходящее от надежного источника, чтобы заставить пользователя одобрить его.
Типичные случаи атак
1. Фишинг-атака на DApp через Кошелек Connect
Протокол Wallet Connect — это широко используемый открытый протокол, который позволяет связывать кошелек пользователя с DApp с помощью QR-кода или глубоких ссылок. В процессе сопряжения кошелек Веб 3.0 отображает модальное окно с метаинформацией о входящем запросе на сопряжение, включая название DApp, адрес сайта, значок и описание.
Однако эта информация предоставляется DApp, и Кошелек не проверяет ее подлинность. Злоумышленники могут выдавать себя за легитимные DApp, обманом заставляя пользователей подключаться к ним. В процессе подключения модальное окно, отображаемое внутри Кошелька, будет показывать, казалось бы, легитимную информацию о DApp, что увеличивает доверие к атаке.
2. Фишинг в информационных сетях смарт-контрактов через определенный Кошелек
В некоторых режимах одобрения криптокошельков отображается строка для идентификации типа транзакции. Кошелек считывает байты подписи смарт-контракта и использует метод запроса реестра на блокчейне для поиска соответствующего имени метода. Однако это также предоставляет злоумышленникам еще один управляемый элемент пользовательского интерфейса.
Атакующий может создать фишинговый смарт-контракт, функция которого зарегистрирована под "SecurityUpdate" и другими вводящими в заблуждение строками. Когда Кошелек обрабатывает этот фишинговый смарт-контракт, он представляет пользователю это, казалось бы, надежное имя функции в модальном окне подтверждения.
Рекомендации по предотвращению
Разработчики приложений Кошелек должны всегда предполагать, что внешние входные данные ненадежны, тщательно выбирая, какую информацию показывать пользователям, и проверяя законность этой информации.
Пользователи должны оставаться настороже к каждому неизвестному запросу на транзакцию и не доверять легко обновлениям или запросам безопасности, которые, по-видимому, поступают из надежных источников.
Разработчики протоколов, таких как Wallet Connect, должны учитывать необходимость предварительной проверки действительности и законности информации DApp.
Кошелек должен принимать меры предосторожности, фильтруя слова, которые могут быть использованы для фишинговых атак.
В общем, некоторые элементы UI в модальном окне криптовалютного Кошелька Web3.0 могут быть манипулированы злоумышленниками, создавая крайне обманчивые фишинговые ловушки. Пользователи и разработчики должны быть бдительными и совместно поддерживать безопасность экосистемы Web3.