مخاطر الأمان الجديدة لمحفظة Web3.0 المحمولة: هجمات التصيد الاحتيالي النمطية
في الآونة الأخيرة، جذبت تقنية جديدة للصيد الاحتيالي الانتباه في مجال Web3. تستهدف هذه الأسلوب الهجومي مرحلة مصادقة الهوية لتطبيقات اللامركزية (DApp) وقد تضلل المستخدمين لاتخاذ قرارات خاطئة.
أطلق باحثو الأمن على هذه التقنية الناشئة في التصيد اسم "هجوم التصيد المودالي" (Modal Phishing).
في هذا الهجوم، يمكن للقراصنة إرسال معلومات مزيفة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي. من خلال عرض محتوى مضلل في نافذة الوضع الخاصة بالمحفظة، يمكنهم إغراء المستخدمين بالموافقة على معاملات مشبوهة. في الوقت الحالي، بدأت هذه التقنية في التصيد الاحتيالي في الانتشار على نطاق واسع. وقد أكدت الفرق المطورة المعنية أنها ستطلق واجهة برمجة تطبيقات جديدة للتحقق لتقليل المخاطر.
مبدأ هجوم الصيد الاحتيالي
في دراسة حول أمان المحفظة المحمولة، اكتشف الخبراء أن بعض عناصر واجهة المستخدم في Web3.0 قد يتم استغلالها من قبل المهاجمين لإجراء عمليات التصيد. يُطلق عليه اسم "التصيد النمطي" لأن الهجوم يستهدف بشكل أساسي النوافذ النمطية لمحفظة العملات المشفرة.
نافذة الوضع هي عنصر واجهة مستخدم شائع في تطبيقات الهاتف المحمول، وعادة ما تظهر فوق الشاشة الرئيسية. هذا التصميم يسهل على المستخدمين إجراء العمليات بسرعة، مثل الموافقة أو رفض طلبات المعاملات من محفظة Web3.0. عادةً ما تقدم نافذة وضع محفظة Web3.0 تفاصيل المعاملة لمراجعتها من قبل المستخدم، مع وجود أزرار للموافقة أو الرفض.
ومع ذلك، قد يتم التحكم في هذه العناصر واجهة المستخدم من قبل القراصنة، لاستخدامها في هجمات التصيد الاحتيالي النمطية. يمكن للمهاجمين تغيير تفاصيل المعاملات، وتزييف الطلبات لتبدو وكأنها "تحديثات أمان" تأتي من مصادر موثوقة، مما يحث المستخدمين على الموافقة.
حالات الهجمات النموذجية
1. استغلال بروتوكول Wallet Connect في الاحتيال على DApp
Wallet Connect هو بروتوكول مفتوح المصدر واسع الاستخدام يتيح ربط محفظة المستخدم بتطبيقات اللامركزية (DApp) عن طريق رمز الاستجابة السريعة أو روابط عميقة. خلال عملية الاقتران، سيظهر محفظة Web3 نافذة نموذجية تعرض اسم DApp، عنوانه، أيقونته، وغيرها من المعلومات.
المشكلة هي أن المحفظة لا تتحقق من صحة هذه المعلومات. يمكن للمهاجمين تقديم معلومات مزيفة، متظاهرين بأنهم DApp معروف. على سبيل المثال، يمكن لتطبيق خبيث أن يتظاهر بأنه Uniswap، مما يؤدي إلى جذب المستخدمين للاتصال والموافقة على الصفقة.
أظهرت الاختبارات العملية أن المهاجمين يمكنهم التحكم في اسم DApp وعنوانه ورمزه المعروض في نافذة الوضع. وبما أنه يتم استخدام بروتوكول https، حتى أنه قد يظهر رمز قفل، مما يزيد من مصداقية الموقع. بمجرد أن يقوم المستخدم بالعمليات على الموقع المزيف، يمكن للمهاجمين استبدال معلمات المعاملة وسرقة الأموال.
2. التصيد المعلومات المتعلقة بالعقود الذكية عبر المحفظة MetaMask
تظهر المحفظة مثل MetaMask اسم طريقة العقد الذكي في واجهة الموافقة على الصفقة، مثل "Confirm" أو "Unknown Method". كانت هذه الميزة تهدف إلى مساعدة المستخدمين على التعرف على نوع المعاملة، ولكن يمكن استغلالها أيضًا من قبل المهاجمين.
يمكن للمهاجمين إنشاء عقد ذكي للتصيد، مسجلاً اسم الطريقة كسلسلة مضللة مثل "SecurityUpdate". عندما ينظر المستخدم إلى تفاصيل المعاملة، سيرى طلب "تحديث أمان" يبدو أنه قادم من MetaMask، مما يزيد من احتمال موافقة المستخدم.
نصائح للوقاية
يجب على مطوري المحفظة أن يفترضوا دائمًا أن البيانات الخارجية غير موثوقة، ويجب عليهم اختيار المعلومات التي يتم عرضها للمستخدمين بعناية والتحقق من قانونيتها.
النظر في تصفية الكلمات الحساسة التي قد تستخدم في التصيد الاحتيالي في واجهة المستخدم.
يجب على المستخدم أن يكون حذرًا من كل طلب تداول غير معروف، والتحقق بدقة من تفاصيل الصفقة.
يمكن اعتبار إضافة آلية تحقق من معلومات DApp في بروتوكولات مثل Wallet Connect.
يجب على تطبيق المحفظة تحسين منطق عرض أسماء طرق العقود الذكية، وتجنب عرض المعلومات التي قد يتم إساءة استخدامها مباشرة.
مع تطور تقنيات Web3.0، تظهر تهديدات أمنية جديدة باستمرار. يحتاج المستخدمون والمطورون إلى البقاء يقظين معًا للحفاظ على أمان النظام البيئي.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 11
أعجبني
11
6
إعادة النشر
مشاركة
تعليق
0/400
liquidation_watcher
· 08-17 03:39
تم كسر جدار الهواء مرة أخرى، مما يجعلني أضطر الآن إلى التحقق من العقد عدة مرات.
شاهد النسخة الأصليةرد0
HallucinationGrower
· 08-16 21:21
مرة أخرى تم اللعب بأساليب جديدة من قبل هاكر.
شاهد النسخة الأصليةرد0
GateUser-2fce706c
· 08-15 11:11
لقد حذرت بالفعل أنه يجب أن تكون حذرًا عند اكتناز العملة.
هجمات تصيد النماذج: تهديدات الأمان الجديدة التي تواجه المحفظة المحمولة Web3
مخاطر الأمان الجديدة لمحفظة Web3.0 المحمولة: هجمات التصيد الاحتيالي النمطية
في الآونة الأخيرة، جذبت تقنية جديدة للصيد الاحتيالي الانتباه في مجال Web3. تستهدف هذه الأسلوب الهجومي مرحلة مصادقة الهوية لتطبيقات اللامركزية (DApp) وقد تضلل المستخدمين لاتخاذ قرارات خاطئة.
أطلق باحثو الأمن على هذه التقنية الناشئة في التصيد اسم "هجوم التصيد المودالي" (Modal Phishing).
في هذا الهجوم، يمكن للقراصنة إرسال معلومات مزيفة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي. من خلال عرض محتوى مضلل في نافذة الوضع الخاصة بالمحفظة، يمكنهم إغراء المستخدمين بالموافقة على معاملات مشبوهة. في الوقت الحالي، بدأت هذه التقنية في التصيد الاحتيالي في الانتشار على نطاق واسع. وقد أكدت الفرق المطورة المعنية أنها ستطلق واجهة برمجة تطبيقات جديدة للتحقق لتقليل المخاطر.
مبدأ هجوم الصيد الاحتيالي
في دراسة حول أمان المحفظة المحمولة، اكتشف الخبراء أن بعض عناصر واجهة المستخدم في Web3.0 قد يتم استغلالها من قبل المهاجمين لإجراء عمليات التصيد. يُطلق عليه اسم "التصيد النمطي" لأن الهجوم يستهدف بشكل أساسي النوافذ النمطية لمحفظة العملات المشفرة.
نافذة الوضع هي عنصر واجهة مستخدم شائع في تطبيقات الهاتف المحمول، وعادة ما تظهر فوق الشاشة الرئيسية. هذا التصميم يسهل على المستخدمين إجراء العمليات بسرعة، مثل الموافقة أو رفض طلبات المعاملات من محفظة Web3.0. عادةً ما تقدم نافذة وضع محفظة Web3.0 تفاصيل المعاملة لمراجعتها من قبل المستخدم، مع وجود أزرار للموافقة أو الرفض.
ومع ذلك، قد يتم التحكم في هذه العناصر واجهة المستخدم من قبل القراصنة، لاستخدامها في هجمات التصيد الاحتيالي النمطية. يمكن للمهاجمين تغيير تفاصيل المعاملات، وتزييف الطلبات لتبدو وكأنها "تحديثات أمان" تأتي من مصادر موثوقة، مما يحث المستخدمين على الموافقة.
حالات الهجمات النموذجية
1. استغلال بروتوكول Wallet Connect في الاحتيال على DApp
Wallet Connect هو بروتوكول مفتوح المصدر واسع الاستخدام يتيح ربط محفظة المستخدم بتطبيقات اللامركزية (DApp) عن طريق رمز الاستجابة السريعة أو روابط عميقة. خلال عملية الاقتران، سيظهر محفظة Web3 نافذة نموذجية تعرض اسم DApp، عنوانه، أيقونته، وغيرها من المعلومات.
المشكلة هي أن المحفظة لا تتحقق من صحة هذه المعلومات. يمكن للمهاجمين تقديم معلومات مزيفة، متظاهرين بأنهم DApp معروف. على سبيل المثال، يمكن لتطبيق خبيث أن يتظاهر بأنه Uniswap، مما يؤدي إلى جذب المستخدمين للاتصال والموافقة على الصفقة.
أظهرت الاختبارات العملية أن المهاجمين يمكنهم التحكم في اسم DApp وعنوانه ورمزه المعروض في نافذة الوضع. وبما أنه يتم استخدام بروتوكول https، حتى أنه قد يظهر رمز قفل، مما يزيد من مصداقية الموقع. بمجرد أن يقوم المستخدم بالعمليات على الموقع المزيف، يمكن للمهاجمين استبدال معلمات المعاملة وسرقة الأموال.
2. التصيد المعلومات المتعلقة بالعقود الذكية عبر المحفظة MetaMask
تظهر المحفظة مثل MetaMask اسم طريقة العقد الذكي في واجهة الموافقة على الصفقة، مثل "Confirm" أو "Unknown Method". كانت هذه الميزة تهدف إلى مساعدة المستخدمين على التعرف على نوع المعاملة، ولكن يمكن استغلالها أيضًا من قبل المهاجمين.
يمكن للمهاجمين إنشاء عقد ذكي للتصيد، مسجلاً اسم الطريقة كسلسلة مضللة مثل "SecurityUpdate". عندما ينظر المستخدم إلى تفاصيل المعاملة، سيرى طلب "تحديث أمان" يبدو أنه قادم من MetaMask، مما يزيد من احتمال موافقة المستخدم.
نصائح للوقاية
يجب على مطوري المحفظة أن يفترضوا دائمًا أن البيانات الخارجية غير موثوقة، ويجب عليهم اختيار المعلومات التي يتم عرضها للمستخدمين بعناية والتحقق من قانونيتها.
النظر في تصفية الكلمات الحساسة التي قد تستخدم في التصيد الاحتيالي في واجهة المستخدم.
يجب على المستخدم أن يكون حذرًا من كل طلب تداول غير معروف، والتحقق بدقة من تفاصيل الصفقة.
يمكن اعتبار إضافة آلية تحقق من معلومات DApp في بروتوكولات مثل Wallet Connect.
يجب على تطبيق المحفظة تحسين منطق عرض أسماء طرق العقود الذكية، وتجنب عرض المعلومات التي قد يتم إساءة استخدامها مباشرة.
مع تطور تقنيات Web3.0، تظهر تهديدات أمنية جديدة باستمرار. يحتاج المستخدمون والمطورون إلى البقاء يقظين معًا للحفاظ على أمان النظام البيئي.