Baru-baru ini, sebuah teknologi phishing baru ditemukan, yang dapat menyesatkan pengguna dalam menghubungkan identitas aplikasi terdesentralisasi (DApp). Teknologi phishing baru ini disebut sebagai "serangan phishing modal" (Modal Phishing).
Penyerang dapat mengirim informasi palsu ke dompet seluler, berpura-pura menjadi DApp yang sah, dan menipu pengguna untuk menyetujui transaksi dengan menampilkan informasi menyesatkan di jendela modal dompet seluler. Teknik phishing ini telah mulai digunakan secara luas. Peneliti keamanan telah berkomunikasi dengan pengembang komponen terkait untuk memastikan bahwa mereka akan merilis API verifikasi baru untuk mengurangi risiko tersebut.
Apa itu serangan phishing modal?
Dalam penelitian keamanan dompet seluler, para peneliti mencatat bahwa beberapa elemen antarmuka pengguna (UI) dari dompet cryptocurrency Web3.0 dapat dikendalikan oleh penyerang untuk melakukan serangan phishing. Teknik phishing ini dinamakan phishing modal, karena penyerang terutama menargetkan jendela modal dari dompet cryptocurrency.
Modal (atau jendela modal) adalah elemen UI yang umum digunakan dalam aplikasi seluler, biasanya ditampilkan di bagian atas jendela utama aplikasi. Desain ini biasanya digunakan untuk memudahkan pengguna melakukan tindakan cepat, seperti menyetujui atau menolak permintaan transaksi Dompet cryptocurrency Web3.0.
Desain modal dompet cryptocurrency Web3.0 yang khas biasanya menyediakan informasi yang diperlukan bagi pengguna untuk memeriksa tanda tangan dan permintaan lainnya, serta tombol untuk menyetujui atau menolak permintaan.
Namun, elemen antarmuka pengguna ini dapat dikendalikan oleh penyerang untuk melakukan serangan phishing modal. Penyerang dapat mengubah detail transaksi dan menyamarkan permintaan transaksi sebagai permintaan "pembaruan aman" dari sumber tepercaya untuk membujuk pengguna agar menyetujui.
Kasus Tipikal
Kasus 1: Serangan phishing DApp melalui Wallet Connect
Protokol Wallet Connect adalah protokol open-source yang sangat populer, digunakan untuk menghubungkan dompet pengguna dengan DApp melalui kode QR atau tautan dalam. Selama proses pem配配an antara dompet cryptocurrency Web3.0 dan DApp, dompet akan menampilkan jendela modal, menunjukkan metadata dari permintaan配配an yang masuk, termasuk nama DApp, alamat situs web, ikon, dan deskripsi.
Namun, informasi ini disediakan oleh DApp, dan Dompet tidak memverifikasi keasliannya. Dalam serangan phishing, penyerang dapat menyamar sebagai DApp yang sah untuk menipu pengguna agar terhubung.
Peneliti keamanan menunjukkan bagaimana penyerang dapat menyamar sebagai DApp Uniswap dan menghubungkan Dompet Metamask, untuk menipu pengguna agar menyetujui transaksi yang masuk. Selama proses pasangan, jendela modal yang ditampilkan di dalam dompet menunjukkan nama, URL situs web, dan ikon DApp Uniswap yang tampak sah.
Kasus 2: Phishing informasi kontrak pintar melalui MetaMask
Dalam modal persetujuan Metamask, terdapat elemen UI untuk mengenali jenis transaksi yang sesuai. Metamask akan membaca byte tanda tangan dari kontrak pintar dan menggunakan registri metode on-chain untuk mencari nama metode yang sesuai. Namun, ini juga akan menciptakan elemen UI lain dalam modal yang dapat dikendalikan oleh penyerang.
Penyerang dapat membuat kontrak pintar phishing yang berisi fungsi pembayaran bernama "SecurityUpdate" dan memungkinkan korban untuk mentransfer dana ke kontrak pintar tersebut. Penyerang juga dapat menggunakan SignatureReg untuk mendaftarkan tanda tangan metode sebagai string yang dapat dibaca manusia "SecurityUpdate". Ketika Metamask menganalisis kontrak pintar phishing ini, ia akan menampilkan nama fungsi yang tampak sah ini kepada pengguna dalam modal persetujuan.
Saran Pencegahan
Pengembang aplikasi Dompet harus selalu menganggap bahwa data yang masuk dari luar tidak dapat dipercaya.
Pengembang harus memilih dengan cermat informasi mana yang ditampilkan kepada pengguna dan memverifikasi keabsahan informasi tersebut.
Pengguna harus tetap waspada terhadap setiap permintaan transaksi yang tidak dikenal dan memeriksa rincian transaksi dengan cermat.
Protokol Wallet Connect dapat mempertimbangkan untuk memverifikasi validitas dan legalitas informasi DApp sebelumnya.
Pengembang aplikasi Dompet harus memantau konten yang akan disajikan kepada pengguna, dan mengambil langkah pencegahan untuk menyaring kata-kata yang mungkin digunakan untuk serangan phishing.
Dengan meningkatkan kewaspadaan dan memperbaiki langkah-langkah keamanan, kita dapat bekerja sama untuk mengurangi risiko serangan phishing baru semacam itu dan melindungi keamanan ekosistem Web3.0.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
6
Posting ulang
Bagikan
Komentar
0/400
HallucinationGrower
· 07-23 23:48
Siapa yang tertipu, aku akan tertawa setahun.
Lihat AsliBalas0
ReverseFOMOguy
· 07-21 16:33
Sekali lagi jebakan! Masih jebakan!
Lihat AsliBalas0
liquidation_surfer
· 07-21 16:33
Cuci sedikit kerugian apa yang ditakutkan, langsung Semua
Lihat AsliBalas0
SerumDegen
· 07-21 16:32
rekt sebelum sarapan... hanya hari biasa di defi lmao
Ancaman baru dompet Web3: serangan phishing modal datang
Web3.0 Dompet baru: serangan phishing modal
Baru-baru ini, sebuah teknologi phishing baru ditemukan, yang dapat menyesatkan pengguna dalam menghubungkan identitas aplikasi terdesentralisasi (DApp). Teknologi phishing baru ini disebut sebagai "serangan phishing modal" (Modal Phishing).
Penyerang dapat mengirim informasi palsu ke dompet seluler, berpura-pura menjadi DApp yang sah, dan menipu pengguna untuk menyetujui transaksi dengan menampilkan informasi menyesatkan di jendela modal dompet seluler. Teknik phishing ini telah mulai digunakan secara luas. Peneliti keamanan telah berkomunikasi dengan pengembang komponen terkait untuk memastikan bahwa mereka akan merilis API verifikasi baru untuk mengurangi risiko tersebut.
Apa itu serangan phishing modal?
Dalam penelitian keamanan dompet seluler, para peneliti mencatat bahwa beberapa elemen antarmuka pengguna (UI) dari dompet cryptocurrency Web3.0 dapat dikendalikan oleh penyerang untuk melakukan serangan phishing. Teknik phishing ini dinamakan phishing modal, karena penyerang terutama menargetkan jendela modal dari dompet cryptocurrency.
Modal (atau jendela modal) adalah elemen UI yang umum digunakan dalam aplikasi seluler, biasanya ditampilkan di bagian atas jendela utama aplikasi. Desain ini biasanya digunakan untuk memudahkan pengguna melakukan tindakan cepat, seperti menyetujui atau menolak permintaan transaksi Dompet cryptocurrency Web3.0.
Desain modal dompet cryptocurrency Web3.0 yang khas biasanya menyediakan informasi yang diperlukan bagi pengguna untuk memeriksa tanda tangan dan permintaan lainnya, serta tombol untuk menyetujui atau menolak permintaan.
Namun, elemen antarmuka pengguna ini dapat dikendalikan oleh penyerang untuk melakukan serangan phishing modal. Penyerang dapat mengubah detail transaksi dan menyamarkan permintaan transaksi sebagai permintaan "pembaruan aman" dari sumber tepercaya untuk membujuk pengguna agar menyetujui.
Kasus Tipikal
Kasus 1: Serangan phishing DApp melalui Wallet Connect
Protokol Wallet Connect adalah protokol open-source yang sangat populer, digunakan untuk menghubungkan dompet pengguna dengan DApp melalui kode QR atau tautan dalam. Selama proses pem配配an antara dompet cryptocurrency Web3.0 dan DApp, dompet akan menampilkan jendela modal, menunjukkan metadata dari permintaan配配an yang masuk, termasuk nama DApp, alamat situs web, ikon, dan deskripsi.
Namun, informasi ini disediakan oleh DApp, dan Dompet tidak memverifikasi keasliannya. Dalam serangan phishing, penyerang dapat menyamar sebagai DApp yang sah untuk menipu pengguna agar terhubung.
Peneliti keamanan menunjukkan bagaimana penyerang dapat menyamar sebagai DApp Uniswap dan menghubungkan Dompet Metamask, untuk menipu pengguna agar menyetujui transaksi yang masuk. Selama proses pasangan, jendela modal yang ditampilkan di dalam dompet menunjukkan nama, URL situs web, dan ikon DApp Uniswap yang tampak sah.
Kasus 2: Phishing informasi kontrak pintar melalui MetaMask
Dalam modal persetujuan Metamask, terdapat elemen UI untuk mengenali jenis transaksi yang sesuai. Metamask akan membaca byte tanda tangan dari kontrak pintar dan menggunakan registri metode on-chain untuk mencari nama metode yang sesuai. Namun, ini juga akan menciptakan elemen UI lain dalam modal yang dapat dikendalikan oleh penyerang.
Penyerang dapat membuat kontrak pintar phishing yang berisi fungsi pembayaran bernama "SecurityUpdate" dan memungkinkan korban untuk mentransfer dana ke kontrak pintar tersebut. Penyerang juga dapat menggunakan SignatureReg untuk mendaftarkan tanda tangan metode sebagai string yang dapat dibaca manusia "SecurityUpdate". Ketika Metamask menganalisis kontrak pintar phishing ini, ia akan menampilkan nama fungsi yang tampak sah ini kepada pengguna dalam modal persetujuan.
Saran Pencegahan
Pengembang aplikasi Dompet harus selalu menganggap bahwa data yang masuk dari luar tidak dapat dipercaya.
Pengembang harus memilih dengan cermat informasi mana yang ditampilkan kepada pengguna dan memverifikasi keabsahan informasi tersebut.
Pengguna harus tetap waspada terhadap setiap permintaan transaksi yang tidak dikenal dan memeriksa rincian transaksi dengan cermat.
Protokol Wallet Connect dapat mempertimbangkan untuk memverifikasi validitas dan legalitas informasi DApp sebelumnya.
Pengembang aplikasi Dompet harus memantau konten yang akan disajikan kepada pengguna, dan mengambil langkah pencegahan untuk menyaring kata-kata yang mungkin digunakan untuk serangan phishing.
Dengan meningkatkan kewaspadaan dan memperbaiki langkah-langkah keamanan, kita dapat bekerja sama untuk mengurangi risiko serangan phishing baru semacam itu dan melindungi keamanan ekosistem Web3.0.