# ウェブ3.0モバイルウォレット新型セキュリティリスク:モーダルフィッシング攻撃最近、新しいフィッシング技術がウェブ3.0の分野で注目を集めています。この攻撃手法は、分散型アプリケーション(DApp)の認証プロセスをターゲットにしており、ユーザーを誤った判断に導く可能性があります。セキュリティ研究者は、この新興のフィッシング技術を「モーダルフィッシング攻撃」と名付けました。この攻撃では、ハッカーがモバイルウォレットに偽の情報を送信し、合法的なDAppを装うことができます。ウォレットのモーダルウィンドウに誤解を招く内容を表示させることで、ユーザーに問題のある取引を承認させるよう誘導します。現在、このフィッシング手法は広く出現し始めています。関連する開発チームは、リスクを減らすために新しい検証APIを導入することを確認しました。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## モーダルフィッシング攻撃の原理モバイルウォレットのセキュリティに関する研究で、専門家はWeb3ウォレットのいくつかのユーザーインターフェース要素が攻撃者によってフィッシングに利用される可能性があることを発見しました。これを「モーダルフィッシング」と呼ぶのは、攻撃が主に暗号ウォレットのモーダルウィンドウをターゲットにしているからです。モーダルウィンドウは、モバイルアプリで一般的なUI要素であり、通常、メインインターフェースの上層に表示されます。このデザインは、ユーザーが迅速に操作できるようにし、Web3.0ウォレットの取引リクエストを承認または拒否することができます。典型的なWeb3.0ウォレットのモーダルウィンドウは、ユーザーが確認できる取引の詳細を提供し、承認または拒否のボタンが付いています。しかし、これらのユーザーインターフェース要素はハッカーによって操作され、モーダルフィッシング攻撃に利用される可能性があります。攻撃者は取引の詳細を変更し、要求を信頼できるソースからの「安全な更新」のように見せかけて、ユーザーに承認させることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)## 典型的な攻撃事例### 1. Wallet Connectプロトコルを利用したDAppフィッシングウォレットコネクトは、QRコードやディープリンクを介してユーザーのウォレットとDAppを接続するための広く使用されているオープンソースプロトコルです。ペアリングプロセス中に、ウェブ3.0ウォレットはDAppの名前、URL、アイコンなどの情報を表示するモーダルウィンドウを表示します。問題は、ウォレットがこれらの情報の真実性を検証しないことです。攻撃者は虚偽の情報を提供し、有名なDAppになりすますことができます。例えば、ある悪意のあるアプリケーションはUniswapになりすまし、ユーザーを誘導して接続し、取引を承認させることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)実際のテストによれば、攻撃者はモーダルウィンドウに表示されるDAppの名前、URL、アイコンを操作できます。httpsプロトコルを使用しているため、ロックアイコンが表示され、信頼性が高まります。ユーザーが偽のウェブサイトで操作を行うと、攻撃者は取引パラメータを置き換え、資金を盗むことができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)### 2. MetaMaskを通じてスマートコントラクト情報フィッシングMetaMaskなどのウォレットは、取引承認画面でスマートコントラクトのメソッド名を表示します。例えば、「Confirm」や「Unknown Method」です。この機能は本来、ユーザーが取引の種類を識別するのを助けるためのものですが、攻撃者によって悪用される可能性もあります。攻撃者は、メソッド名を"SecurityUpdate"などの誤解を招く文字列として登録したフィッシングスマートコントラクトを作成できます。ユーザーが取引の詳細を確認すると、MetaMaskからの"安全更新"リクエストのように見え、ユーザーが承認する可能性が高まります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)## 予防に関する推奨事項1. ウォレット開発者は常に外部データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を検証するべきです。2. UI内でフィッシングに使用される可能性のあるセンシティブワードをフィルタリングすることを検討してください。3. ユーザーは各未知の取引リクエストに対して警戒し、取引の詳細を慎重に確認する必要があります。4. ウォレットコネクトなどのプロトコルは、DApp情報検証メカニズムの追加を検討できます。5. ウォレットアプリはスマートコントラクトのメソッド名の表示ロジックを改善し、悪用される可能性のある情報を直接表示しないようにするべきです。ウェブ3.0技術の発展に伴い、新しい型のセキュリティ脅威が次々と現れています。ユーザーと開発者は警戒を怠らず、エコシステムの安全を共に維持する必要があります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)
モーダルフィッシング攻撃:Web3モバイルウォレットが直面する新しいセキュリティ脅威
ウェブ3.0モバイルウォレット新型セキュリティリスク:モーダルフィッシング攻撃
最近、新しいフィッシング技術がウェブ3.0の分野で注目を集めています。この攻撃手法は、分散型アプリケーション(DApp)の認証プロセスをターゲットにしており、ユーザーを誤った判断に導く可能性があります。
セキュリティ研究者は、この新興のフィッシング技術を「モーダルフィッシング攻撃」と名付けました。
この攻撃では、ハッカーがモバイルウォレットに偽の情報を送信し、合法的なDAppを装うことができます。ウォレットのモーダルウィンドウに誤解を招く内容を表示させることで、ユーザーに問題のある取引を承認させるよう誘導します。現在、このフィッシング手法は広く出現し始めています。関連する開発チームは、リスクを減らすために新しい検証APIを導入することを確認しました。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
モーダルフィッシング攻撃の原理
モバイルウォレットのセキュリティに関する研究で、専門家はWeb3ウォレットのいくつかのユーザーインターフェース要素が攻撃者によってフィッシングに利用される可能性があることを発見しました。これを「モーダルフィッシング」と呼ぶのは、攻撃が主に暗号ウォレットのモーダルウィンドウをターゲットにしているからです。
モーダルウィンドウは、モバイルアプリで一般的なUI要素であり、通常、メインインターフェースの上層に表示されます。このデザインは、ユーザーが迅速に操作できるようにし、Web3.0ウォレットの取引リクエストを承認または拒否することができます。典型的なWeb3.0ウォレットのモーダルウィンドウは、ユーザーが確認できる取引の詳細を提供し、承認または拒否のボタンが付いています。
しかし、これらのユーザーインターフェース要素はハッカーによって操作され、モーダルフィッシング攻撃に利用される可能性があります。攻撃者は取引の詳細を変更し、要求を信頼できるソースからの「安全な更新」のように見せかけて、ユーザーに承認させることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
典型的な攻撃事例
1. Wallet Connectプロトコルを利用したDAppフィッシング
ウォレットコネクトは、QRコードやディープリンクを介してユーザーのウォレットとDAppを接続するための広く使用されているオープンソースプロトコルです。ペアリングプロセス中に、ウェブ3.0ウォレットはDAppの名前、URL、アイコンなどの情報を表示するモーダルウィンドウを表示します。
問題は、ウォレットがこれらの情報の真実性を検証しないことです。攻撃者は虚偽の情報を提供し、有名なDAppになりすますことができます。例えば、ある悪意のあるアプリケーションはUniswapになりすまし、ユーザーを誘導して接続し、取引を承認させることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
実際のテストによれば、攻撃者はモーダルウィンドウに表示されるDAppの名前、URL、アイコンを操作できます。httpsプロトコルを使用しているため、ロックアイコンが表示され、信頼性が高まります。ユーザーが偽のウェブサイトで操作を行うと、攻撃者は取引パラメータを置き換え、資金を盗むことができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
2. MetaMaskを通じてスマートコントラクト情報フィッシング
MetaMaskなどのウォレットは、取引承認画面でスマートコントラクトのメソッド名を表示します。例えば、「Confirm」や「Unknown Method」です。この機能は本来、ユーザーが取引の種類を識別するのを助けるためのものですが、攻撃者によって悪用される可能性もあります。
攻撃者は、メソッド名を"SecurityUpdate"などの誤解を招く文字列として登録したフィッシングスマートコントラクトを作成できます。ユーザーが取引の詳細を確認すると、MetaMaskからの"安全更新"リクエストのように見え、ユーザーが承認する可能性が高まります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
予防に関する推奨事項
ウォレット開発者は常に外部データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を検証するべきです。
UI内でフィッシングに使用される可能性のあるセンシティブワードをフィルタリングすることを検討してください。
ユーザーは各未知の取引リクエストに対して警戒し、取引の詳細を慎重に確認する必要があります。
ウォレットコネクトなどのプロトコルは、DApp情報検証メカニズムの追加を検討できます。
ウォレットアプリはスマートコントラクトのメソッド名の表示ロジックを改善し、悪用される可能性のある情報を直接表示しないようにするべきです。
ウェブ3.0技術の発展に伴い、新しい型のセキュリティ脅威が次々と現れています。ユーザーと開発者は警戒を怠らず、エコシステムの安全を共に維持する必要があります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング