Веб 3.0 мобільний гаманець новий тип замилювання очей: модальне фішинг-атака
Нещодавно була виявлена нова технологія фішингу, яка може вводити користувачів в оману при підключенні до ідентичності децентралізованих застосунків (DApp). Цю нову технологію фішингу називають "модальними фішинговими атаками" (Modal Phishing).
Атакуючи можуть надсилати підроблену інформацію до мобільного гаманця, видаючи себе за легітимний DApp, і вводячи в оману користувачів, щоб вони схвалили транзакцію, відображаючи оманливу інформацію в модальному вікні мобільного гаманця. Ця техніка фішингу вже почала широко використовуватися. Дослідники безпеки вже зв'язалися з розробниками відповідних компонентів, щоб підтвердити, що вони випустять нове API для верифікації, щоб зменшити цей ризик.
Що таке модальне рибальство?
У дослідженні безпеки мобільних гаманців дослідники звернули увагу на те, що певні елементи інтерфейсу (UI) гаманців криптовалют Веб 3.0 можуть бути контрольовані зловмисниками для здійснення фішингових атак. Цю техніку фішингу назвали модальним фішингом, оскільки атакуючі в основному націлені на модальні вікна криптогаманців.
Модаль (або модальне вікно) є поширеним елементом інтерфейсу користувача в мобільних додатках, зазвичай відображається у верхній частині основного вікна програми. Такий дизайн зазвичай використовується для зручності виконання швидких дій, таких як підтвердження або відхилення запиту на транзакцію криптовалюти Гаманець в Веб 3.0.
Типовий дизайн модального вікна криптовалютного гаманця Веб 3.0 зазвичай надає необхідну інформацію для перевірки підписів та інших запитів, а також кнопки для схвалення або відхилення запитів.
Однак ці елементи інтерфейсу користувача можуть бути під контролем зловмисників для проведення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакції та маскувати запити на транзакцію під "безпечні оновлення" від надійних джерел, щоб спонукати користувачів надати згоду.
Типовий випадок
Приклад 1: Фішинг-атака на DApp через Гаманець Connect
Протокол Wallet Connect є популярним відкритим протоколом, що використовується для з'єднання гаманців користувачів з DApp через QR-код або глибоке посилання. Під час процесу парування між криптовалютними гаманцями та DApp у Веб 3.0 гаманець відображає модальне вікно, яке показує метадані вхідного запиту на парування, включаючи назву DApp, адресу веб-сайту, значок та опис.
Однак ця інформація надається DApp, гаманець не перевіряє її достовірність. У атаках фішингу зловмисники можуть видавати себе за законні DApp, спокушаючи користувачів підключитися до них.
Дослідники безпеки продемонстрували, як зловмисники можуть видавати себе за DApp Uniswap та підключати гаманець Metamask, щоб обманювати користувачів, схвалюючи вхідні транзакції. Під час парування модальне вікно, яке відображається в гаманці, показувало назву, URL-адресу та значок DApp Uniswap, які виглядали легітимними.
Приклад 2: Фішинг інформаційної мережі смарт-контрактів через MetaMask
У модальному вікні затвердження Metamask є UI-елемент для ідентифікації відповідного типу транзакції. Metamask читає байти підпису смарт-контракту та використовує реєстр методів для запиту відповідної назви методу. Проте це також створює ще один UI-елемент у модальному вікні, яким можуть керувати зловмисники.
Зловмисники можуть створити фішинговий смарт-контракт, який містить платіжну функцію під назвою "SecurityUpdate" і дозволяє жертвам переводити кошти на цей смарт-контракт. Зловмисники також можуть використовувати SignatureReg для реєстрації підпису методу як зрозумілого для людини рядка "SecurityUpdate". Коли Metamask аналізує цей фішинговий смарт-контракт, він відображає користувачеві цю, здавалося б, законну назву функції в модальному вікні затвердження.
Рекомендації щодо запобігання
Розробники програм для гаманець повинні завжди припускати, що зовнішні вхідні дані ненадійні.
Розробники повинні ретельно обирати, яку інформацію показувати користувачам, і перевіряти законність цієї інформації.
Користувачі повинні бути обережними щодо кожного невідомого запиту на транзакцію та ретельно перевіряти деталі транзакції.
Протокол Wallet Connect може розглянути можливість попередньої перевірки дійсності та законності інформації DApp.
Розробники гаманець додатків повинні моніторити зміст, який буде представлений користувачам, і вжити запобіжних заходів для фільтрації можливих слів, що можуть бути використані для замилювання очей.
Завдяки підвищенню пильності та вдосконаленню заходів безпеки ми можемо спільно працювати над зменшенням ризику таких нових видів фішингових атак та захистом безпеки екосистеми Веб 3.0.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
6
Репост
Поділіться
Прокоментувати
0/400
HallucinationGrower
· 07-23 23:48
Хто попався, я сміюся цілий рік
Переглянути оригіналвідповісти на0
ReverseFOMOguy
· 07-21 16:33
Ще одна пастка, а ще й пастка!
Переглянути оригіналвідповісти на0
liquidation_surfer
· 07-21 16:33
Стирайте. Маленькі втрати - не біда, відразу все вкладіть.
Переглянути оригіналвідповісти на0
SerumDegen
· 07-21 16:32
rekt перед сніданком... просто ще один день у defi лол
Нові загрози для мобільних гаманець Web3: атаки модального фішингу
Веб 3.0 мобільний гаманець новий тип замилювання очей: модальне фішинг-атака
Нещодавно була виявлена нова технологія фішингу, яка може вводити користувачів в оману при підключенні до ідентичності децентралізованих застосунків (DApp). Цю нову технологію фішингу називають "модальними фішинговими атаками" (Modal Phishing).
Атакуючи можуть надсилати підроблену інформацію до мобільного гаманця, видаючи себе за легітимний DApp, і вводячи в оману користувачів, щоб вони схвалили транзакцію, відображаючи оманливу інформацію в модальному вікні мобільного гаманця. Ця техніка фішингу вже почала широко використовуватися. Дослідники безпеки вже зв'язалися з розробниками відповідних компонентів, щоб підтвердити, що вони випустять нове API для верифікації, щоб зменшити цей ризик.
Що таке модальне рибальство?
У дослідженні безпеки мобільних гаманців дослідники звернули увагу на те, що певні елементи інтерфейсу (UI) гаманців криптовалют Веб 3.0 можуть бути контрольовані зловмисниками для здійснення фішингових атак. Цю техніку фішингу назвали модальним фішингом, оскільки атакуючі в основному націлені на модальні вікна криптогаманців.
Модаль (або модальне вікно) є поширеним елементом інтерфейсу користувача в мобільних додатках, зазвичай відображається у верхній частині основного вікна програми. Такий дизайн зазвичай використовується для зручності виконання швидких дій, таких як підтвердження або відхилення запиту на транзакцію криптовалюти Гаманець в Веб 3.0.
Типовий дизайн модального вікна криптовалютного гаманця Веб 3.0 зазвичай надає необхідну інформацію для перевірки підписів та інших запитів, а також кнопки для схвалення або відхилення запитів.
Однак ці елементи інтерфейсу користувача можуть бути під контролем зловмисників для проведення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакції та маскувати запити на транзакцію під "безпечні оновлення" від надійних джерел, щоб спонукати користувачів надати згоду.
Типовий випадок
Приклад 1: Фішинг-атака на DApp через Гаманець Connect
Протокол Wallet Connect є популярним відкритим протоколом, що використовується для з'єднання гаманців користувачів з DApp через QR-код або глибоке посилання. Під час процесу парування між криптовалютними гаманцями та DApp у Веб 3.0 гаманець відображає модальне вікно, яке показує метадані вхідного запиту на парування, включаючи назву DApp, адресу веб-сайту, значок та опис.
Однак ця інформація надається DApp, гаманець не перевіряє її достовірність. У атаках фішингу зловмисники можуть видавати себе за законні DApp, спокушаючи користувачів підключитися до них.
Дослідники безпеки продемонстрували, як зловмисники можуть видавати себе за DApp Uniswap та підключати гаманець Metamask, щоб обманювати користувачів, схвалюючи вхідні транзакції. Під час парування модальне вікно, яке відображається в гаманці, показувало назву, URL-адресу та значок DApp Uniswap, які виглядали легітимними.
Приклад 2: Фішинг інформаційної мережі смарт-контрактів через MetaMask
У модальному вікні затвердження Metamask є UI-елемент для ідентифікації відповідного типу транзакції. Metamask читає байти підпису смарт-контракту та використовує реєстр методів для запиту відповідної назви методу. Проте це також створює ще один UI-елемент у модальному вікні, яким можуть керувати зловмисники.
Зловмисники можуть створити фішинговий смарт-контракт, який містить платіжну функцію під назвою "SecurityUpdate" і дозволяє жертвам переводити кошти на цей смарт-контракт. Зловмисники також можуть використовувати SignatureReg для реєстрації підпису методу як зрозумілого для людини рядка "SecurityUpdate". Коли Metamask аналізує цей фішинговий смарт-контракт, він відображає користувачеві цю, здавалося б, законну назву функції в модальному вікні затвердження.
Рекомендації щодо запобігання
Розробники програм для гаманець повинні завжди припускати, що зовнішні вхідні дані ненадійні.
Розробники повинні ретельно обирати, яку інформацію показувати користувачам, і перевіряти законність цієї інформації.
Користувачі повинні бути обережними щодо кожного невідомого запиту на транзакцію та ретельно перевіряти деталі транзакції.
Протокол Wallet Connect може розглянути можливість попередньої перевірки дійсності та законності інформації DApp.
Розробники гаманець додатків повинні моніторити зміст, який буде представлений користувачам, і вжити запобіжних заходів для фільтрації можливих слів, що можуть бути використані для замилювання очей.
Завдяки підвищенню пильності та вдосконаленню заходів безпеки ми можемо спільно працювати над зменшенням ризику таких нових видів фішингових атак та захистом безпеки екосистеми Веб 3.0.