Web3.0 محفظة موبايل أساليب جديدة للتصيد: هجوم تصيد نمطي
مؤخراً، تم اكتشاف تقنية جديدة للتصيد تستهدف المحفظة المحمولة الخاصة بـ Web3.0، يمكن أن تُضلل المستخدمين لكشف معلومات الهوية عند الاتصال بالتطبيقات اللامركزية (DApp). تُستخدم هذه التقنية المعروفة باسم "هجوم التصيد النمطي"(Modal Phishing) على نطاق واسع.
يستخدم المهاجمون معلومات مزيفة مزيفة لتقليد DApp الشرعي عن طريق إرسالها إلى المحفظة المحمولة، ويعرضون محتوى مضلل في نافذة الوضع للمحفظة لخداع المستخدمين للموافقة على الصفقة. وقد أكد المطورون المعنيون أنهم سيطلقون واجهة برمجة تطبيقات تحقق جديدة لتقليل المخاطر.
ما هو هجوم التصيد بالوضع؟
في دراسة حول أمان المحفظة المحمولة، تم اكتشاف أن بعض عناصر واجهة المستخدم (UI) لمحفظة العملات المشفرة Web3.0 يمكن أن تتحكم بها الجهات المعتدية لاستخدامها في التصيد. يُطلق عليها اسم التصيد النمطي، لأن الهجمات تستهدف بشكل أساسي نافذة النمط الخاصة بالمحفظة المشفرة.
النموذج ( أو نافذة النموذج ) هي عناصر واجهة مستخدم شائعة في التطبيقات المحمولة، وعادة ما تظهر في الجزء العلوي من النافذة الرئيسية، وتستخدم للعمليات السريعة مثل الموافقة/رفض طلبات المعاملات. التصميم النموذجي للنموذج في المحفظة المشفرة Web3.0 سوف يوفر المعلومات اللازمة للمستخدمين للتحقق منها، بالإضافة إلى أزرار الموافقة أو الرفض.
ومع ذلك، يمكن لمهاجمين التحكم في هذه العناصر UI لإجراء التصيد. يمكن للمهاجمين تغيير تفاصيل المعاملات، وتزييف الطلبات ك"تحديثات آمنة" وغيرها من المحتويات الجذابة.
حالات الهجوم النموذجية
1. 通过المحفظة Connect进行DApp التصيد
Wallet Connect هو بروتوكول مفتوح المصدر يحظى بشعبية كبيرة، يُستخدم لربط محفظة المستخدم مع DApp. خلال عملية الاقتران، ستظهر المحفظة معلومات وصفية تقدمها DApp، مثل الاسم، وعنوان الويب، والأيقونة، وغيرها. لكن المحفظة لا تتحقق من صحة هذه المعلومات.
يمكن للمهاجمين انتحال شخصية التطبيقات اللامركزية المعروفة مثل Uniswap( لربط محفظة المستخدم. عند الاقتران، ستظهر نافذة الحالة داخل المحفظة معلومات عن التطبيق اللامركزي تبدو شرعية. بمجرد نجاح الاتصال، يمكن للمهاجم استبدال معلمات المعاملة وسرقة الأموال.
تختلف تصميمات أنماط المحفظة المختلفة، لكن يمكن للمهاجمين السيطرة على المعلومات الوصفية. كحل محتمل، يمكن لبروتوكول Wallet Connect التحقق مسبقاً من صحة معلومات DApp.
![كشف عن عملية احتيال جديدة في Web3.0 للمحفظة المتنقلة: هجوم التصيد النمطي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
) 2. من خلال MetaMask لعملية التصيد لمعلومات العقود الذكية
تظهر MetaMask اسم دالة العقد الذكي في وضع الموافقة على المعاملات. يمكن للمهاجمين إنشاء عقود ذكية للتصيد، وتسجيل اسم الدالة كسلاسل مضللة مثل "SecurityUpdate".
عندما يقوم MetaMask بتحليل هذه العقود الاحتيالية، سيعرض أسماء الوظائف المضللة هذه للمستخدم في وضع الموافقة. مع عناصر واجهة المستخدم القابلة للتحكم الأخرى، يمكن للمهاجمين إنشاء طلبات معاملات مزيفة مقنعة للغاية.
![كشف النقاب عن نوع جديد من الاحتيال في المحفظة المحمولة Web3.0: هجوم التصيد على شكل نموذج Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
![كشف عن نوع جديد من الاحتيال في المحفظة المحمولة Web3.0: هجوم التصيد الطرحي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
![كشف النقاب عن الخداع الجديد لمحفظة Web3.0 المتنقلة: هجوم التصيد المداري Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![الكشف عن خدعة جديدة لمحفظة Web3.0 المتنقلة: هجوم التصيد المودالي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
![كشف النقاب عن خدعة جديدة لمحفظة Web3.0 المتنقلة: هجمات التصيد النموذجية Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
الخاتمة
توضح هذه المقالة بعض عناصر واجهة المستخدم في نافذة وضع المحفظة المشفرة Web3.0 التي لا ينبغي الوثوق بها بشكل أعمى. يمكن للمهاجمين التلاعب بهذه العناصر لخلق فخاخ تصيد مضللة للغاية.
المشكلة تكمن في عدم تحقق تطبيق المحفظة بشكل كافٍ من شرعية عناصر واجهة المستخدم المعروضة. يجب على المطورين دائمًا اعتبار البيانات الخارجية غير موثوقة، واختيار المعلومات التي يتم عرضها للمستخدمين بعناية والتحقق من شرعيتها.
في الوقت نفسه، ينبغي على المستخدمين أن يبقوا يقظين تجاه كل طلب تعامل غير معروف، وأن يتعاملوا بحذر مع جميع العمليات المشبوهة، لضمان أمان أصولهم.
![كشف عن نوع جديد من الاحتيال في المحفظة المتنقلة Web3.0: هجوم التصيد المودالي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
Web3.0 المحفظة أساليب جديدة للصيد: هجوم المودال يهدد أمان الأصول
Web3.0 محفظة موبايل أساليب جديدة للتصيد: هجوم تصيد نمطي
مؤخراً، تم اكتشاف تقنية جديدة للتصيد تستهدف المحفظة المحمولة الخاصة بـ Web3.0، يمكن أن تُضلل المستخدمين لكشف معلومات الهوية عند الاتصال بالتطبيقات اللامركزية (DApp). تُستخدم هذه التقنية المعروفة باسم "هجوم التصيد النمطي"(Modal Phishing) على نطاق واسع.
يستخدم المهاجمون معلومات مزيفة مزيفة لتقليد DApp الشرعي عن طريق إرسالها إلى المحفظة المحمولة، ويعرضون محتوى مضلل في نافذة الوضع للمحفظة لخداع المستخدمين للموافقة على الصفقة. وقد أكد المطورون المعنيون أنهم سيطلقون واجهة برمجة تطبيقات تحقق جديدة لتقليل المخاطر.
ما هو هجوم التصيد بالوضع؟
في دراسة حول أمان المحفظة المحمولة، تم اكتشاف أن بعض عناصر واجهة المستخدم (UI) لمحفظة العملات المشفرة Web3.0 يمكن أن تتحكم بها الجهات المعتدية لاستخدامها في التصيد. يُطلق عليها اسم التصيد النمطي، لأن الهجمات تستهدف بشكل أساسي نافذة النمط الخاصة بالمحفظة المشفرة.
النموذج ( أو نافذة النموذج ) هي عناصر واجهة مستخدم شائعة في التطبيقات المحمولة، وعادة ما تظهر في الجزء العلوي من النافذة الرئيسية، وتستخدم للعمليات السريعة مثل الموافقة/رفض طلبات المعاملات. التصميم النموذجي للنموذج في المحفظة المشفرة Web3.0 سوف يوفر المعلومات اللازمة للمستخدمين للتحقق منها، بالإضافة إلى أزرار الموافقة أو الرفض.
ومع ذلك، يمكن لمهاجمين التحكم في هذه العناصر UI لإجراء التصيد. يمكن للمهاجمين تغيير تفاصيل المعاملات، وتزييف الطلبات ك"تحديثات آمنة" وغيرها من المحتويات الجذابة.
حالات الهجوم النموذجية
1. 通过المحفظة Connect进行DApp التصيد
Wallet Connect هو بروتوكول مفتوح المصدر يحظى بشعبية كبيرة، يُستخدم لربط محفظة المستخدم مع DApp. خلال عملية الاقتران، ستظهر المحفظة معلومات وصفية تقدمها DApp، مثل الاسم، وعنوان الويب، والأيقونة، وغيرها. لكن المحفظة لا تتحقق من صحة هذه المعلومات.
يمكن للمهاجمين انتحال شخصية التطبيقات اللامركزية المعروفة مثل Uniswap( لربط محفظة المستخدم. عند الاقتران، ستظهر نافذة الحالة داخل المحفظة معلومات عن التطبيق اللامركزي تبدو شرعية. بمجرد نجاح الاتصال، يمكن للمهاجم استبدال معلمات المعاملة وسرقة الأموال.
![كشف خدعة جديدة لمحفظة Web3.0 المحمولة: هجوم التصيد المودالي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
تختلف تصميمات أنماط المحفظة المختلفة، لكن يمكن للمهاجمين السيطرة على المعلومات الوصفية. كحل محتمل، يمكن لبروتوكول Wallet Connect التحقق مسبقاً من صحة معلومات DApp.
![كشف عن عملية احتيال جديدة في Web3.0 للمحفظة المتنقلة: هجوم التصيد النمطي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
) 2. من خلال MetaMask لعملية التصيد لمعلومات العقود الذكية
تظهر MetaMask اسم دالة العقد الذكي في وضع الموافقة على المعاملات. يمكن للمهاجمين إنشاء عقود ذكية للتصيد، وتسجيل اسم الدالة كسلاسل مضللة مثل "SecurityUpdate".
عندما يقوم MetaMask بتحليل هذه العقود الاحتيالية، سيعرض أسماء الوظائف المضللة هذه للمستخدم في وضع الموافقة. مع عناصر واجهة المستخدم القابلة للتحكم الأخرى، يمكن للمهاجمين إنشاء طلبات معاملات مزيفة مقنعة للغاية.
![كشف النقاب عن نوع جديد من الاحتيال في المحفظة المحمولة Web3.0: هجوم التصيد على شكل نموذج Modal Phishing]###https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
![كشف عن نوع جديد من الاحتيال في المحفظة المحمولة Web3.0: هجوم التصيد الطرحي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
![كشف النقاب عن الخداع الجديد لمحفظة Web3.0 المتنقلة: هجوم التصيد المداري Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![الكشف عن خدعة جديدة لمحفظة Web3.0 المتنقلة: هجوم التصيد المودالي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
![كشف النقاب عن خدعة جديدة لمحفظة Web3.0 المتنقلة: هجمات التصيد النموذجية Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
الخاتمة
توضح هذه المقالة بعض عناصر واجهة المستخدم في نافذة وضع المحفظة المشفرة Web3.0 التي لا ينبغي الوثوق بها بشكل أعمى. يمكن للمهاجمين التلاعب بهذه العناصر لخلق فخاخ تصيد مضللة للغاية.
المشكلة تكمن في عدم تحقق تطبيق المحفظة بشكل كافٍ من شرعية عناصر واجهة المستخدم المعروضة. يجب على المطورين دائمًا اعتبار البيانات الخارجية غير موثوقة، واختيار المعلومات التي يتم عرضها للمستخدمين بعناية والتحقق من شرعيتها.
في الوقت نفسه، ينبغي على المستخدمين أن يبقوا يقظين تجاه كل طلب تعامل غير معروف، وأن يتعاملوا بحذر مع جميع العمليات المشبوهة، لضمان أمان أصولهم.
![كشف عن نوع جديد من الاحتيال في المحفظة المتنقلة Web3.0: هجوم التصيد المودالي Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(