Нові типи безпекових ризиків мобільного гаманця Web3.0: модальне фішинг-атака
Нещодавно новий тип фішингової технології привернув увагу в області Веб 3.0. Цей метод атаки націлений на етапи автентифікації в децентралізованих додатках (DApp) і може вводити користувачів в оману, змушуючи їх ухвалювати неправильні рішення.
Дослідники з безпеки назвали цю нову технологію фішингу "модальними фішинг-атаками" (Modal Phishing).
У цьому типі атаки зловмисники можуть надсилати підроблену інформацію до мобільного гаманця, видаючи себе за законний DApp. Показуючи оманливий контент у модальному вікні гаманця, вони спонукають користувачів схвалити проблемні транзакції. Наразі цей метод фішингу почав широко поширюватися. Відповідні команди розробників підтвердили, що впровадять новий API для верифікації, щоб знизити ризики.
Принципи модального фішингу
У дослідженні безпеки мобільних гаманців експерти виявили, що певні елементи інтерфейсу користувача Web3 гаманців можуть бути використані зловмисниками для фішингу. Це називається "модальним фішингом", оскільки атаки в основному націлені на модальні вікна крипто гаманців.
Модальне вікно є поширеним елементом інтерфейсу користувача в мобільних додатках, зазвичай відображається на верхньому рівні головного екрану. Такий дизайн дозволяє користувачеві швидко виконувати дії, такі як затвердження або відхилення запиту на транзакцію Web3. Типове модальне вікно Web3 гаманця надає деталі транзакції для перевірки користувачем і містить кнопки для затвердження або відхилення.
Однак ці елементи інтерфейсу користувача можуть бути зламані хакерами для проведення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакцій, маскуючи запити під "безпечне оновлення" тощо, що виглядає як такі, що надходять з надійного джерела, спонукаючи користувачів надати згоду.
Типові випадки атак
1. Використання DApp фішингу за протоколом Wallet Connect
Wallet Connect є широко використовуваним відкритим протоколом, що дозволяє підключати гаманці користувачів до DApp через QR-код або глибоке посилання. Під час спарювання Web3 гаманець відображає модальне вікно, що демонструє назву DApp, URL-адресу, значок та іншу інформацію.
Проблема в тому, що гаманець не перевіряє достовірність цієї інформації. Зловмисники можуть надати хибну інформацію, видаючи себе за відомий DApp. Наприклад, деякий шкідливий додаток може видавати себе за Uniswap, спонукаючи користувачів підключатися та затверджувати транзакції.
Фактичні випробування показали, що зловмисники можуть контролювати назву DApp, веб-адресу та значок, які відображаються у модальному вікні. Через використання протоколу https навіть може з'явитися значок замка, що підвищує довіру. Як тільки користувач здійснює операції на підробленому веб-сайті, зловмисники можуть замінити параметри транзакції та вкрасти кошти.
2. Фішинг інформації про смарт-контракти через MetaMask
Гаманець, такий як MetaMask, на екрані підтвердження транзакції відображатиме назву методу смарт-контракту, наприклад, "Confirm" або "Unknown Method". Ця функція спочатку була створена для допомоги користувачам у розпізнаванні типу транзакції, але також може бути використана зловмисниками.
Зловмисники можуть створити фішинговий смарт-контракт, зареєструвавши назву методу як "SecurityUpdate" та інші оманливі рядки. Коли користувач переглядає деталі транзакції, він побачить запит "безпекового оновлення", що, здається, походить з MetaMask, що підвищує ймовірність схвалення користувачем.
Рекомендації щодо запобігання
Розробники гаманець повинні завжди припускати, що зовнішні дані ненадійні, ретельно обирати інформацію, яка відображається користувачеві, та перевіряти її законність.
Розгляньте можливість фільтрації чутливих слів, які можуть бути використані для фішингу, в інтерфейсі.
Користувач повинен бути обережним щодо кожного невідомого запиту на транзакцію та уважно перевіряти деталі транзакції.
Протоколи, такі як Wallet Connect, можуть розглянути можливість додавання механізму верифікації інформації DApp.
Гаманець застосунок повинен покращити логіку відображення імен методів смарт-контрактів, щоб уникнути прямого показу інформації, яка може бути зловживана.
З розвитком технологій Веб 3.0 з'являються нові типи загроз безпеці. Користувачі та розробники повинні бути уважними та спільно підтримувати безпеку екосистеми.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
8
Репост
Поділіться
Прокоментувати
0/400
liquidation_watcher
· 08-17 03:39
Повітряна стіна знову зламалася, тому мені тепер доводиться кілька разів перевіряти контракт перед підписанням.
Переглянути оригіналвідповісти на0
HallucinationGrower
· 08-16 21:21
Знову хакер придумав нові фокуси.
Переглянути оригіналвідповісти на0
GateUser-2fce706c
· 08-15 11:11
Я вже давно попереджав, що під час Накопичення монет слід бути обережним.
Модальне фішинг-атака: нова загроза безпеці мобільних гаманець Web3
Нові типи безпекових ризиків мобільного гаманця Web3.0: модальне фішинг-атака
Нещодавно новий тип фішингової технології привернув увагу в області Веб 3.0. Цей метод атаки націлений на етапи автентифікації в децентралізованих додатках (DApp) і може вводити користувачів в оману, змушуючи їх ухвалювати неправильні рішення.
Дослідники з безпеки назвали цю нову технологію фішингу "модальними фішинг-атаками" (Modal Phishing).
У цьому типі атаки зловмисники можуть надсилати підроблену інформацію до мобільного гаманця, видаючи себе за законний DApp. Показуючи оманливий контент у модальному вікні гаманця, вони спонукають користувачів схвалити проблемні транзакції. Наразі цей метод фішингу почав широко поширюватися. Відповідні команди розробників підтвердили, що впровадять новий API для верифікації, щоб знизити ризики.
Принципи модального фішингу
У дослідженні безпеки мобільних гаманців експерти виявили, що певні елементи інтерфейсу користувача Web3 гаманців можуть бути використані зловмисниками для фішингу. Це називається "модальним фішингом", оскільки атаки в основному націлені на модальні вікна крипто гаманців.
Модальне вікно є поширеним елементом інтерфейсу користувача в мобільних додатках, зазвичай відображається на верхньому рівні головного екрану. Такий дизайн дозволяє користувачеві швидко виконувати дії, такі як затвердження або відхилення запиту на транзакцію Web3. Типове модальне вікно Web3 гаманця надає деталі транзакції для перевірки користувачем і містить кнопки для затвердження або відхилення.
Однак ці елементи інтерфейсу користувача можуть бути зламані хакерами для проведення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакцій, маскуючи запити під "безпечне оновлення" тощо, що виглядає як такі, що надходять з надійного джерела, спонукаючи користувачів надати згоду.
Типові випадки атак
1. Використання DApp фішингу за протоколом Wallet Connect
Wallet Connect є широко використовуваним відкритим протоколом, що дозволяє підключати гаманці користувачів до DApp через QR-код або глибоке посилання. Під час спарювання Web3 гаманець відображає модальне вікно, що демонструє назву DApp, URL-адресу, значок та іншу інформацію.
Проблема в тому, що гаманець не перевіряє достовірність цієї інформації. Зловмисники можуть надати хибну інформацію, видаючи себе за відомий DApp. Наприклад, деякий шкідливий додаток може видавати себе за Uniswap, спонукаючи користувачів підключатися та затверджувати транзакції.
Фактичні випробування показали, що зловмисники можуть контролювати назву DApp, веб-адресу та значок, які відображаються у модальному вікні. Через використання протоколу https навіть може з'явитися значок замка, що підвищує довіру. Як тільки користувач здійснює операції на підробленому веб-сайті, зловмисники можуть замінити параметри транзакції та вкрасти кошти.
2. Фішинг інформації про смарт-контракти через MetaMask
Гаманець, такий як MetaMask, на екрані підтвердження транзакції відображатиме назву методу смарт-контракту, наприклад, "Confirm" або "Unknown Method". Ця функція спочатку була створена для допомоги користувачам у розпізнаванні типу транзакції, але також може бути використана зловмисниками.
Зловмисники можуть створити фішинговий смарт-контракт, зареєструвавши назву методу як "SecurityUpdate" та інші оманливі рядки. Коли користувач переглядає деталі транзакції, він побачить запит "безпекового оновлення", що, здається, походить з MetaMask, що підвищує ймовірність схвалення користувачем.
Рекомендації щодо запобігання
Розробники гаманець повинні завжди припускати, що зовнішні дані ненадійні, ретельно обирати інформацію, яка відображається користувачеві, та перевіряти її законність.
Розгляньте можливість фільтрації чутливих слів, які можуть бути використані для фішингу, в інтерфейсі.
Користувач повинен бути обережним щодо кожного невідомого запиту на транзакцію та уважно перевіряти деталі транзакції.
Протоколи, такі як Wallet Connect, можуть розглянути можливість додавання механізму верифікації інформації DApp.
Гаманець застосунок повинен покращити логіку відображення імен методів смарт-контрактів, щоб уникнути прямого показу інформації, яка може бути зловживана.
З розвитком технологій Веб 3.0 з'являються нові типи загроз безпеці. Користувачі та розробники повинні бути уважними та спільно підтримувати безпеку екосистеми.