Веб 3.0 мобільний гаманець нові типи безпекових ризиків: модальні фішингові атаки
Нещодавно експерти з безпеки виявили новий тип фішингової технології, яка може ввести в оману користувачів під час процесу автентифікації, підключаючи децентралізовані додатки (DApp). Цей новий тип атаки назвали "модальними фішинговими атаками" (Modal Phishing).
Атакувальники можуть надсилати підроблену інформацію до мобільного гаманця, видаючи себе за легітимний DApp, і спокушати користувачів схвалити транзакцію, відображаючи оманливу інформацію у модальному вікні гаманця. Ця техніка фішингу широко використовується. Розробники відповідних компонентів підтвердили, що найближчим часом буде випущено новий API верифікації для зниження цього ризику.
Принципи атаки модального риболовства
У дослідженні безпеки мобільного гаманця експерти звернули увагу на те, що деякі елементи інтерфейсу користувача Web3.0 крипто гаманця (UI) можуть бути контрольовані зловмисниками для фішингових атак. Це називається модальним фішингом, оскільки зловмисники в основному націлені на модальні вікна крипто гаманця.
Модальне вікно є звичним елементом інтерфейсу користувача в мобільних додатках, зазвичай відображається поверх основного вікна, щоб полегшити користувачеві виконання швидких дій, таких як схвалення/відхилення запиту на транзакцію в гаманець Веб 3.0. Типовий дизайн модального вікна гаманця Веб 3.0 зазвичай надає необхідну інформацію про запит для перевірки користувачем, а також кнопки для схвалення або відхилення.
Однак ці елементи інтерфейсу можуть бути контрольовані зловмисниками для проведення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакцій, маскуючи запит на транзакцію під "безпечне оновлення" від надійного джерела, щоб спонукати користувачів дати згоду.
Типові випадки атак
1. Атака риболовлі DApp через Гаманець Connect
Протокол Wallet Connect є популярним відкритим протоколом, який використовується для з'єднання гаманця користувача з DApp через QR-код або глибоке посилання. Під час процедури спарювання Web3.0 гаманець відображає модальне вікно, що містить метадані вхідного запиту на спарювання, включаючи назву DApp, веб-адресу, значок та опис.
Однак ця інформація надається DApp, гаманець не перевіряє її достовірність. Зловмисники можуть видавати себе за законні DApp, спокушаючи користувачів підключитися до них. Під час процесу сполучення модальне вікно, що відображається в гаманці, покаже нібито законну інформацію про DApp, що підвищує довіру до атаки.
2. Через певний криптогаманець здійснюється фішинг інформації смарт-контрактів
У деяких модальних вікнах схвалення крипто-гаманців буде відображено рядок для ідентифікації типу транзакції. Гаманець зчитує байти підпису смарт-контракту та використовує реєстр методів на блокчейні для запиту відповідної назви методу. Проте це також надає зловмисникам ще один керований елемент інтерфейсу.
Зловмисники можуть створити фішинговий смарт-контракт, ім'я функції якого зареєстроване як "SecurityUpdate" та інші оманливі рядки. Коли гаманець аналізує цей фішинговий смарт-контракт, він відображає цю, здавалося б, надійну назву функції користувачу в модалі затвердження.
Рекомендації щодо запобігання
Розробники програм для гаманців повинні завжди припускати, що зовнішні вхідні дані ненадійні, ретельно обираючи, яку інформацію показувати користувачам, і перевіряючи легітимність цієї інформації.
Користувачі повинні бути обережними з кожним невідомим запитом на транзакцію і не довіряти безрозсудно оновленням або запитам на безпеку, що, на перший погляд, походять з надійних джерел.
Розробники протоколів, таких як Wallet Connect, повинні розглянути можливість попередньої перевірки дійсності та законності інформації DApp.
Гаманець застосунок повинен вжити запобіжних заходів, щоб відфільтрувати слова, які можуть бути використані для фішингових атак.
У підсумку, деякі елементи інтерфейсу користувача в модальному вікні криптогаманця Web3.0 можуть бути маніпульовані зловмисниками, створюючи дуже оманливі фішингові пастки. Користувачі та розробники повинні бути пильними та спільно підтримувати безпеку екосистеми Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
19 лайків
Нагородити
19
5
Поділіться
Прокоментувати
0/400
MemeKingNFT
· 07-31 21:15
Ей? Гачок вже опущено, веселощі знову починаються, невдахи ще повинні бути висаджені...
Переглянути оригіналвідповісти на0
TokenRationEater
· 07-29 15:40
Не можу зрозуміти, як гаманець може бути фішинговим.
Нові загрози для Web3 мобільного гаманця: атаки модального фішингу
Веб 3.0 мобільний гаманець нові типи безпекових ризиків: модальні фішингові атаки
Нещодавно експерти з безпеки виявили новий тип фішингової технології, яка може ввести в оману користувачів під час процесу автентифікації, підключаючи децентралізовані додатки (DApp). Цей новий тип атаки назвали "модальними фішинговими атаками" (Modal Phishing).
Атакувальники можуть надсилати підроблену інформацію до мобільного гаманця, видаючи себе за легітимний DApp, і спокушати користувачів схвалити транзакцію, відображаючи оманливу інформацію у модальному вікні гаманця. Ця техніка фішингу широко використовується. Розробники відповідних компонентів підтвердили, що найближчим часом буде випущено новий API верифікації для зниження цього ризику.
Принципи атаки модального риболовства
У дослідженні безпеки мобільного гаманця експерти звернули увагу на те, що деякі елементи інтерфейсу користувача Web3.0 крипто гаманця (UI) можуть бути контрольовані зловмисниками для фішингових атак. Це називається модальним фішингом, оскільки зловмисники в основному націлені на модальні вікна крипто гаманця.
Модальне вікно є звичним елементом інтерфейсу користувача в мобільних додатках, зазвичай відображається поверх основного вікна, щоб полегшити користувачеві виконання швидких дій, таких як схвалення/відхилення запиту на транзакцію в гаманець Веб 3.0. Типовий дизайн модального вікна гаманця Веб 3.0 зазвичай надає необхідну інформацію про запит для перевірки користувачем, а також кнопки для схвалення або відхилення.
Однак ці елементи інтерфейсу можуть бути контрольовані зловмисниками для проведення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакцій, маскуючи запит на транзакцію під "безпечне оновлення" від надійного джерела, щоб спонукати користувачів дати згоду.
Типові випадки атак
1. Атака риболовлі DApp через Гаманець Connect
Протокол Wallet Connect є популярним відкритим протоколом, який використовується для з'єднання гаманця користувача з DApp через QR-код або глибоке посилання. Під час процедури спарювання Web3.0 гаманець відображає модальне вікно, що містить метадані вхідного запиту на спарювання, включаючи назву DApp, веб-адресу, значок та опис.
Однак ця інформація надається DApp, гаманець не перевіряє її достовірність. Зловмисники можуть видавати себе за законні DApp, спокушаючи користувачів підключитися до них. Під час процесу сполучення модальне вікно, що відображається в гаманці, покаже нібито законну інформацію про DApp, що підвищує довіру до атаки.
2. Через певний криптогаманець здійснюється фішинг інформації смарт-контрактів
У деяких модальних вікнах схвалення крипто-гаманців буде відображено рядок для ідентифікації типу транзакції. Гаманець зчитує байти підпису смарт-контракту та використовує реєстр методів на блокчейні для запиту відповідної назви методу. Проте це також надає зловмисникам ще один керований елемент інтерфейсу.
Зловмисники можуть створити фішинговий смарт-контракт, ім'я функції якого зареєстроване як "SecurityUpdate" та інші оманливі рядки. Коли гаманець аналізує цей фішинговий смарт-контракт, він відображає цю, здавалося б, надійну назву функції користувачу в модалі затвердження.
Рекомендації щодо запобігання
Розробники програм для гаманців повинні завжди припускати, що зовнішні вхідні дані ненадійні, ретельно обираючи, яку інформацію показувати користувачам, і перевіряючи легітимність цієї інформації.
Користувачі повинні бути обережними з кожним невідомим запитом на транзакцію і не довіряти безрозсудно оновленням або запитам на безпеку, що, на перший погляд, походять з надійних джерел.
Розробники протоколів, таких як Wallet Connect, повинні розглянути можливість попередньої перевірки дійсності та законності інформації DApp.
Гаманець застосунок повинен вжити запобіжних заходів, щоб відфільтрувати слова, які можуть бути використані для фішингових атак.
У підсумку, деякі елементи інтерфейсу користувача в модальному вікні криптогаманця Web3.0 можуть бути маніпульовані зловмисниками, створюючи дуже оманливі фішингові пастки. Користувачі та розробники повинні бути пильними та спільно підтримувати безпеку екосистеми Web3.