Rủi ro an toàn mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình
Gần đây, một loại kỹ thuật lừa đảo mới đã thu hút sự chú ý trong lĩnh vực Web3.0. Phương pháp tấn công này nhắm vào giai đoạn xác thực danh tính của các ứng dụng phi tập trung (DApp), có thể khiến người dùng đưa ra những phán đoán sai lầm.
Các nhà nghiên cứu an ninh đã đặt tên cho công nghệ lừa đảo trực tuyến mới nổi này là "tấn công lừa đảo theo mô hình" (Modal Phishing).
Trong cuộc tấn công này, tin tặc có thể gửi thông tin giả mạo đến Ví tiền di động, giả mạo DApp hợp pháp. Bằng cách hiển thị nội dung gây hiểu lầm trong cửa sổ mô-đun của Ví tiền, họ dụ dỗ người dùng chấp thuận giao dịch có vấn đề. Hiện tại, phương pháp lừa đảo này đã bắt đầu xuất hiện rộng rãi. Nhóm phát triển liên quan đã xác nhận sẽ ra mắt API xác thực mới để giảm thiểu rủi ro.
Nguyên lý của cuộc tấn công lừa đảo mô hình
Trong nghiên cứu về tính bảo mật của ví di động, các chuyên gia phát hiện rằng một số yếu tố giao diện người dùng của ví Web3 có thể bị kẻ tấn công lợi dụng để thực hiện phishing. Được gọi là "phishing theo kiểu modal" vì cuộc tấn công chủ yếu nhắm vào cửa sổ modal của ví tiền điện tử.
Cửa sổ mô-đun là một phần tử UI phổ biến trong ứng dụng di động, thường hiển thị trên lớp giao diện chính. Thiết kế này giúp người dùng dễ dàng thực hiện các thao tác nhanh chóng, chẳng hạn như chấp thuận hoặc từ chối yêu cầu giao dịch của Ví tiền Web3. Một cửa sổ mô-đun Ví tiền Web3 điển hình sẽ cung cấp chi tiết giao dịch để người dùng xác minh và có kèm theo nút chấp thuận hoặc từ chối.
Tuy nhiên, các yếu tố giao diện người dùng này có thể bị hacker thao túng để thực hiện các cuộc tấn công lừa đảo mô hình. Kẻ tấn công có thể thay đổi chi tiết giao dịch, ngụy trang yêu cầu thành những "bản cập nhật bảo mật" dường như đến từ nguồn đáng tin cậy, dụ dỗ người dùng phê duyệt.
Những trường hợp tấn công điển hình
1. Lợi dụng giao thức Wallet Connect để lừa đảo DApp
Wallet Connect là một giao thức mã nguồn mở được sử dụng rộng rãi, cho phép kết nối ví tiền của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3 sẽ hiển thị một cửa sổ mô-đun, cho biết tên DApp, địa chỉ web, biểu tượng và các thông tin khác.
Vấn đề là, Ví tiền không xác minh tính xác thực của những thông tin này. Kẻ tấn công có thể cung cấp thông tin giả mạo, giả danh các DApp nổi tiếng. Ví dụ, một ứng dụng độc hại có thể giả mạo Uniswap, dụ dỗ người dùng kết nối và phê duyệt giao dịch.
Thực tế thử nghiệm cho thấy, kẻ tấn công có thể thao túng tên DApp, địa chỉ web và biểu tượng hiển thị trong cửa sổ mô hình. Do sử dụng giao thức https, thậm chí nó sẽ hiển thị một biểu tượng khóa, tăng cường độ tin cậy. Một khi người dùng thực hiện giao dịch trên trang web giả mạo, kẻ tấn công có thể thay thế các tham số giao dịch, đánh cắp tiền.
2. Lừa đảo thông tin hợp đồng thông minh qua MetaMask
Các ví như MetaMask sẽ hiển thị tên phương thức của hợp đồng thông minh trong giao diện phê duyệt giao dịch, chẳng hạn như "Confirm" hoặc "Unknown Method". Tính năng này ban đầu nhằm giúp người dùng nhận diện loại giao dịch, nhưng cũng có thể bị kẻ tấn công lợi dụng.
Kẻ tấn công có thể tạo ra một hợp đồng thông minh lừa đảo, đăng ký tên phương thức là "SecurityUpdate" và các chuỗi gây nhầm lẫn khác. Khi người dùng xem chi tiết giao dịch, họ sẽ thấy một yêu cầu "cập nhật bảo mật" dường như đến từ MetaMask, làm tăng khả năng người dùng phê duyệt.
Đề xuất phòng ngừa
Các nhà phát triển Ví tiền nên luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy, cẩn thận chọn thông tin để hiển thị cho người dùng và xác minh tính hợp pháp của nó.
Cân nhắc lọc các từ nhạy cảm có thể được sử dụng cho phishing trong UI.
Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không rõ ràng và kiểm tra kỹ chi tiết giao dịch.
Các giao thức như Wallet Connect có thể xem xét thêm cơ chế xác thực thông tin DApp.
Ứng dụng Ví tiền nên cải thiện logic hiển thị tên phương thức hợp đồng thông minh, tránh hiển thị trực tiếp những thông tin có thể bị lạm dụng.
Với sự phát triển của công nghệ Web3, các mối đe dọa an ninh mới liên tục xuất hiện. Người dùng và các nhà phát triển cần phải giữ cảnh giác, cùng nhau bảo vệ an toàn cho hệ sinh thái.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
6
Đăng lại
Chia sẻ
Bình luận
0/400
liquidation_watcher
· 10giờ trước
Bức tường không khí lại bị phá vỡ, khiến tôi bây giờ phải kiểm tra hợp đồng nhiều lần.
Xem bản gốcTrả lời0
HallucinationGrower
· 16giờ trước
Lại bị Hacker chơi trò mới rồi phải không?
Xem bản gốcTrả lời0
GateUser-2fce706c
· 08-15 11:11
Đã nhắc từ lâu rằng khi Tích trữ coin thì phải để ý nhiều hơn.
Tấn công lừa đảo mô hình: Những mối đe dọa an ninh mới mà ví tiền di động Web3 phải đối mặt
Rủi ro an toàn mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình
Gần đây, một loại kỹ thuật lừa đảo mới đã thu hút sự chú ý trong lĩnh vực Web3.0. Phương pháp tấn công này nhắm vào giai đoạn xác thực danh tính của các ứng dụng phi tập trung (DApp), có thể khiến người dùng đưa ra những phán đoán sai lầm.
Các nhà nghiên cứu an ninh đã đặt tên cho công nghệ lừa đảo trực tuyến mới nổi này là "tấn công lừa đảo theo mô hình" (Modal Phishing).
Trong cuộc tấn công này, tin tặc có thể gửi thông tin giả mạo đến Ví tiền di động, giả mạo DApp hợp pháp. Bằng cách hiển thị nội dung gây hiểu lầm trong cửa sổ mô-đun của Ví tiền, họ dụ dỗ người dùng chấp thuận giao dịch có vấn đề. Hiện tại, phương pháp lừa đảo này đã bắt đầu xuất hiện rộng rãi. Nhóm phát triển liên quan đã xác nhận sẽ ra mắt API xác thực mới để giảm thiểu rủi ro.
Nguyên lý của cuộc tấn công lừa đảo mô hình
Trong nghiên cứu về tính bảo mật của ví di động, các chuyên gia phát hiện rằng một số yếu tố giao diện người dùng của ví Web3 có thể bị kẻ tấn công lợi dụng để thực hiện phishing. Được gọi là "phishing theo kiểu modal" vì cuộc tấn công chủ yếu nhắm vào cửa sổ modal của ví tiền điện tử.
Cửa sổ mô-đun là một phần tử UI phổ biến trong ứng dụng di động, thường hiển thị trên lớp giao diện chính. Thiết kế này giúp người dùng dễ dàng thực hiện các thao tác nhanh chóng, chẳng hạn như chấp thuận hoặc từ chối yêu cầu giao dịch của Ví tiền Web3. Một cửa sổ mô-đun Ví tiền Web3 điển hình sẽ cung cấp chi tiết giao dịch để người dùng xác minh và có kèm theo nút chấp thuận hoặc từ chối.
Tuy nhiên, các yếu tố giao diện người dùng này có thể bị hacker thao túng để thực hiện các cuộc tấn công lừa đảo mô hình. Kẻ tấn công có thể thay đổi chi tiết giao dịch, ngụy trang yêu cầu thành những "bản cập nhật bảo mật" dường như đến từ nguồn đáng tin cậy, dụ dỗ người dùng phê duyệt.
Những trường hợp tấn công điển hình
1. Lợi dụng giao thức Wallet Connect để lừa đảo DApp
Wallet Connect là một giao thức mã nguồn mở được sử dụng rộng rãi, cho phép kết nối ví tiền của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3 sẽ hiển thị một cửa sổ mô-đun, cho biết tên DApp, địa chỉ web, biểu tượng và các thông tin khác.
Vấn đề là, Ví tiền không xác minh tính xác thực của những thông tin này. Kẻ tấn công có thể cung cấp thông tin giả mạo, giả danh các DApp nổi tiếng. Ví dụ, một ứng dụng độc hại có thể giả mạo Uniswap, dụ dỗ người dùng kết nối và phê duyệt giao dịch.
Thực tế thử nghiệm cho thấy, kẻ tấn công có thể thao túng tên DApp, địa chỉ web và biểu tượng hiển thị trong cửa sổ mô hình. Do sử dụng giao thức https, thậm chí nó sẽ hiển thị một biểu tượng khóa, tăng cường độ tin cậy. Một khi người dùng thực hiện giao dịch trên trang web giả mạo, kẻ tấn công có thể thay thế các tham số giao dịch, đánh cắp tiền.
2. Lừa đảo thông tin hợp đồng thông minh qua MetaMask
Các ví như MetaMask sẽ hiển thị tên phương thức của hợp đồng thông minh trong giao diện phê duyệt giao dịch, chẳng hạn như "Confirm" hoặc "Unknown Method". Tính năng này ban đầu nhằm giúp người dùng nhận diện loại giao dịch, nhưng cũng có thể bị kẻ tấn công lợi dụng.
Kẻ tấn công có thể tạo ra một hợp đồng thông minh lừa đảo, đăng ký tên phương thức là "SecurityUpdate" và các chuỗi gây nhầm lẫn khác. Khi người dùng xem chi tiết giao dịch, họ sẽ thấy một yêu cầu "cập nhật bảo mật" dường như đến từ MetaMask, làm tăng khả năng người dùng phê duyệt.
Đề xuất phòng ngừa
Các nhà phát triển Ví tiền nên luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy, cẩn thận chọn thông tin để hiển thị cho người dùng và xác minh tính hợp pháp của nó.
Cân nhắc lọc các từ nhạy cảm có thể được sử dụng cho phishing trong UI.
Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không rõ ràng và kiểm tra kỹ chi tiết giao dịch.
Các giao thức như Wallet Connect có thể xem xét thêm cơ chế xác thực thông tin DApp.
Ứng dụng Ví tiền nên cải thiện logic hiển thị tên phương thức hợp đồng thông minh, tránh hiển thị trực tiếp những thông tin có thể bị lạm dụng.
Với sự phát triển của công nghệ Web3, các mối đe dọa an ninh mới liên tục xuất hiện. Người dùng và các nhà phát triển cần phải giữ cảnh giác, cùng nhau bảo vệ an toàn cho hệ sinh thái.