Новые типы безопасных рисков мобильного Кошелька Веб 3.0: модальные фишинговые атаки
Недавно новая технология фишинга привлекла внимание в области Веб 3.0. Этот метод атаки нацелен на этапы аутентификации в децентрализованных приложениях (DApp) и может вводить пользователей в заблуждение, заставляя их принимать неверные решения.
Специалисты по безопасности назвали эту новую технику фишинга "модальные фишинг-атаки" (Modal Phishing).
В этой атаке хакеры могут отправлять поддельные сообщения на мобильный Кошелек, выдавая себя за легитимные DApp. Путем отображения вводящего в заблуждение контента в модальном окне Кошелька они заставляют пользователей одобрять проблемные транзакции. В настоящее время этот метод фишинга начинает широко распространяться. Соответствующие команды разработчиков подтвердили, что будут выпущены новые API для валидации, чтобы снизить риски.
Принципы атак при помощи подмены модальных окон
В ходе исследования безопасности мобильных кошельков эксперты обнаружили, что некоторые элементы пользовательского интерфейса Web3 кошелька могут быть использованы злоумышленниками для фишинга. Это называется "модальным фишингом", потому что атаки в основном нацелены на модальные окна криптовалютных кошельков.
Модальное окно является распространенным элементом интерфейса в мобильных приложениях, обычно отображается на верхнем уровне главного экрана. Этот дизайн упрощает пользователям быстрые действия, такие как одобрение или отклонение запроса на транзакцию в Веб 3.0 кошельке. Типичное модальное окно кошелька Веб 3.0 предоставляет детали транзакции для проверки пользователем и содержит кнопки для одобрения или отклонения.
Однако эти элементы пользовательского интерфейса могут быть скомпрометированы хакерами и использоваться для модальных фишинговых атак. Злоумышленники могут изменять детали транзакций, маскируя запросы под "безопасные обновления" и другие, которые кажутся исходящими из надежных источников, чтобы заставить пользователей подтвердить.
Типичные случаи атак
1. Фишинг DApp с использованием протокола Wallet Connect
Wallet Connect — это широко используемый открытый протокол, который позволяет подключать пользовательские Кошелек к DApp через QR-код или глубокую ссылку. В процессе сопряжения Web3.0 Кошелек отображает модальное окно, в котором показываются имя DApp, веб-сайт, значок и другая информация.
Проблема в том, что Кошелек не проверяет подлинность этой информации. Злоумышленники могут предоставить ложные данные, выдавая себя за известные DApp. Например, вредоносное приложение может притворяться Uniswap, заставляя пользователей подключаться и одобрять транзакции.
Фактические тесты показывают, что злоумышленники могут манипулировать названием DApp, URL и иконкой, отображаемыми в модальном окне. Поскольку используется протокол https, даже может отображаться значок блокировки, что увеличивает доверие. Как только пользователь выполняет действия на поддельном сайте, злоумышленники могут заменить параметры транзакции и украсть средства.
2. Фишинг информации о смарт-контрактах через MetaMask
В таких кошельках, как MetaMask, на экране подтверждения транзакции отображается название метода смарт-контракта, например, "Подтвердить" или "Неизвестный метод". Эта функция изначально предназначалась для помощи пользователям в распознавании типа транзакции, но также может быть использована злоумышленниками.
Атакующий может создать фишинговый смарт-контракт, зарегистрировав имя метода как "SecurityUpdate" и другие вводящие в заблуждение строки. Когда пользователь просматривает детали транзакции, он увидит запрос на "безопасное обновление", который выглядит как исходящий от MetaMask, что увеличивает вероятность одобрения пользователем.
Рекомендации по предотвращению
Разработчики кошельков всегда должны предполагать, что внешние данные ненадежны, тщательно выбирать информацию, которая будет показана пользователям, и проверять ее законность.
Рассмотрите возможность фильтрации в UI чувствительных слов, которые могут использоваться для фишинга.
Пользователи должны быть осторожны с каждым неизвестным запросом на транзакцию и внимательно проверять детали транзакции.
Протоколы, такие как Wallet Connect, могут рассмотреть возможность добавления механизма проверки информации DApp.
Кошелек должен улучшить логику отображения имен методов смарт-контрактов, избегая непосредственного показа информации, которая может быть злоупотреблена.
С развитием технологий Веб 3.0 появляются новые виды угроз безопасности. Пользователи и разработчики должны быть бдительными и вместе поддерживать безопасность экосистемы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
8
Репост
Поделиться
комментарий
0/400
liquidation_watcher
· 08-17 03:39
Воздушная стена снова разрушена, из-за чего мне теперь приходится несколько раз проверять контракты перед подписанием.
Посмотреть ОригиналОтветить0
HallucinationGrower
· 08-16 21:21
Снова Хакер проявил новые уловки?
Посмотреть ОригиналОтветить0
GateUser-2fce706c
· 08-15 11:11
Я уже давно предупреждал, что при накоплении монет нужно быть осторожнее.
Модельные фишинговые атаки: новые угрозы безопасности для Web3 мобильных кошельков
Новые типы безопасных рисков мобильного Кошелька Веб 3.0: модальные фишинговые атаки
Недавно новая технология фишинга привлекла внимание в области Веб 3.0. Этот метод атаки нацелен на этапы аутентификации в децентрализованных приложениях (DApp) и может вводить пользователей в заблуждение, заставляя их принимать неверные решения.
Специалисты по безопасности назвали эту новую технику фишинга "модальные фишинг-атаки" (Modal Phishing).
В этой атаке хакеры могут отправлять поддельные сообщения на мобильный Кошелек, выдавая себя за легитимные DApp. Путем отображения вводящего в заблуждение контента в модальном окне Кошелька они заставляют пользователей одобрять проблемные транзакции. В настоящее время этот метод фишинга начинает широко распространяться. Соответствующие команды разработчиков подтвердили, что будут выпущены новые API для валидации, чтобы снизить риски.
Принципы атак при помощи подмены модальных окон
В ходе исследования безопасности мобильных кошельков эксперты обнаружили, что некоторые элементы пользовательского интерфейса Web3 кошелька могут быть использованы злоумышленниками для фишинга. Это называется "модальным фишингом", потому что атаки в основном нацелены на модальные окна криптовалютных кошельков.
Модальное окно является распространенным элементом интерфейса в мобильных приложениях, обычно отображается на верхнем уровне главного экрана. Этот дизайн упрощает пользователям быстрые действия, такие как одобрение или отклонение запроса на транзакцию в Веб 3.0 кошельке. Типичное модальное окно кошелька Веб 3.0 предоставляет детали транзакции для проверки пользователем и содержит кнопки для одобрения или отклонения.
Однако эти элементы пользовательского интерфейса могут быть скомпрометированы хакерами и использоваться для модальных фишинговых атак. Злоумышленники могут изменять детали транзакций, маскируя запросы под "безопасные обновления" и другие, которые кажутся исходящими из надежных источников, чтобы заставить пользователей подтвердить.
Типичные случаи атак
1. Фишинг DApp с использованием протокола Wallet Connect
Wallet Connect — это широко используемый открытый протокол, который позволяет подключать пользовательские Кошелек к DApp через QR-код или глубокую ссылку. В процессе сопряжения Web3.0 Кошелек отображает модальное окно, в котором показываются имя DApp, веб-сайт, значок и другая информация.
Проблема в том, что Кошелек не проверяет подлинность этой информации. Злоумышленники могут предоставить ложные данные, выдавая себя за известные DApp. Например, вредоносное приложение может притворяться Uniswap, заставляя пользователей подключаться и одобрять транзакции.
Фактические тесты показывают, что злоумышленники могут манипулировать названием DApp, URL и иконкой, отображаемыми в модальном окне. Поскольку используется протокол https, даже может отображаться значок блокировки, что увеличивает доверие. Как только пользователь выполняет действия на поддельном сайте, злоумышленники могут заменить параметры транзакции и украсть средства.
2. Фишинг информации о смарт-контрактах через MetaMask
В таких кошельках, как MetaMask, на экране подтверждения транзакции отображается название метода смарт-контракта, например, "Подтвердить" или "Неизвестный метод". Эта функция изначально предназначалась для помощи пользователям в распознавании типа транзакции, но также может быть использована злоумышленниками.
Атакующий может создать фишинговый смарт-контракт, зарегистрировав имя метода как "SecurityUpdate" и другие вводящие в заблуждение строки. Когда пользователь просматривает детали транзакции, он увидит запрос на "безопасное обновление", который выглядит как исходящий от MetaMask, что увеличивает вероятность одобрения пользователем.
Рекомендации по предотвращению
Разработчики кошельков всегда должны предполагать, что внешние данные ненадежны, тщательно выбирать информацию, которая будет показана пользователям, и проверять ее законность.
Рассмотрите возможность фильтрации в UI чувствительных слов, которые могут использоваться для фишинга.
Пользователи должны быть осторожны с каждым неизвестным запросом на транзакцию и внимательно проверять детали транзакции.
Протоколы, такие как Wallet Connect, могут рассмотреть возможность добавления механизма проверки информации DApp.
Кошелек должен улучшить логику отображения имен методов смарт-контрактов, избегая непосредственного показа информации, которая может быть злоупотреблена.
С развитием технологий Веб 3.0 появляются новые виды угроз безопасности. Пользователи и разработчики должны быть бдительными и вместе поддерживать безопасность экосистемы.