Веб 3.0 мобильный Кошелек новый метод Фишинга: модальные атакующие
Недавно была обнаружена новая фишинг-технология, нацеленная на мобильные кошельки Веб 3.0, которая может вводить пользователей в заблуждение, заставляя их раскрывать личную информацию при подключении к децентрализованным приложениям (DApp). Этот метод, называемый "модальным фишингом" (Modal Phishing), широко используется.
Злоумышленники отправляют поддельные сообщения в мобильный кошелек, выдавая себя за легитимные DApp, и отображают вводящее в заблуждение содержимое в модальном окне кошелька, чтобы заставить пользователей подтвердить транзакцию. Соответствующие разработчики подтвердили, что будут выпущены новые API для верификации, чтобы снизить риски.
Что такое модальное фишинг-атака?
В исследовании безопасности мобильных кошельков было обнаружено, что некоторые элементы пользовательского интерфейса Web3.0 криптокошельков (UI) могут быть контролируемы злоумышленниками для фишинга. Это называется модальным фишингом, потому что атака в основном нацелена на модальные окна криптокошелька.
Модальное окно ( или модальные ) являются часто используемыми элементами интерфейса в мобильных приложениях, которые обычно отображаются в верхней части основного окна и предназначены для быстрого выполнения операций, таких как одобрение/отклонение запросов на транзакции. Типичный модальный дизайн крипто-кошелька Веб 3.0 предоставляет необходимую информацию для проверки пользователем, а также кнопки для одобрения или отклонения.
Однако эти элементы интерфейса могут быть использованы злоумышленниками для фишинга. Злоумышленники могут изменять детали транзакций, маскируя запросы под "безопасное обновление" и другие вводящие в заблуждение сообщения.
Типичные примеры атак
1. Фишинг DApp через Кошелек Connect
Кошелек Connect — это популярный открытый протокол для подключения пользовательского кошелька к DApp. В процессе сопряжения кошелек отображает метаданные, предоставленные DApp, такие как название, веб-сайт, значок и т.д. Однако кошелек не проверяет достоверность этой информации.
Атакующие могут выдать себя за известный DApp(, такой как Uniswap), чтобы подключиться к кошельку пользователя. При паре модальное окно в кошельке будет отображать информацию о DApp, которая выглядит легитимной. Как только подключение будет успешно, атакующие смогут заменить параметры транзакции и украсть средства.
Хотя модальные дизайны различных Кошельков различаются, злоумышленники все же могут контролировать метаинформацию. В качестве потенциального решения протокол Wallet Connect может заранее проверить действительность информации DApp.
2. Фишинг информации о смарт-контрактах через MetaMask
MetaMask отображает название функции смарт-контракта в модальном окне одобрения транзакции. Злоумышленники могут создать фишинговый смарт-контракт, зарегистрировав название функции как вводящие в заблуждение строки, такие как "SecurityUpdate".
Когда MetaMask анализирует такие фишинг-контракты, он представляет пользователю эти обманчивые имена функций в модальном окне подтверждения. В сочетании с другими управляемыми элементами пользовательского интерфейса, злоумышленник может создать очень убедительный фальшивый запрос на транзакцию.
Заключение
Статья раскрывает некоторые UI-компоненты в модальном окне криптокошелька Веб 3.0, которым не следует слепо доверять. Эти элементы могут быть манипулированы злоумышленниками, создавая крайне обманчивые фишинговые ловушки.
Корень проблемы заключается в том, что приложение кошелька не проверяет должным образом законность представленных элементов пользовательского интерфейса. Разработчики всегда должны рассматривать внешние данные как ненадежные, тщательно отбирая информацию, которую они показывают пользователям, и проверяя ее законность.
В то же время пользователи должны быть осторожны с каждым неизвестным запросом на транзакцию и внимательно относиться ко всем подозрительным операциям, чтобы обеспечить безопасность своих активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
22 Лайков
Награда
22
5
Репост
Поделиться
комментарий
0/400
FUD_Whisperer
· 07-21 09:36
Постучите по доске. Безопасность на первом месте!
Посмотреть ОригиналОтветить0
AirdropHunter9000
· 07-20 15:35
Снова рыбалка? Это просто ужас.
Посмотреть ОригиналОтветить0
GasWastingMaximalist
· 07-20 15:31
Снова день, когда розничные инвесторы сокращают потери.
Посмотреть ОригиналОтветить0
ProbablyNothing
· 07-20 15:28
Черт, этот обман действительно каждый раз новый.
Посмотреть ОригиналОтветить0
MevWhisperer
· 07-20 15:08
Прицельтесь на Кошелек, делая вид, что атакуетесь с другой стороны.
Веб 3.0 Кошелек новый метод фишинга: модальная атака угрожает безопасности активов пользователей
Веб 3.0 мобильный Кошелек новый метод Фишинга: модальные атакующие
Недавно была обнаружена новая фишинг-технология, нацеленная на мобильные кошельки Веб 3.0, которая может вводить пользователей в заблуждение, заставляя их раскрывать личную информацию при подключении к децентрализованным приложениям (DApp). Этот метод, называемый "модальным фишингом" (Modal Phishing), широко используется.
Злоумышленники отправляют поддельные сообщения в мобильный кошелек, выдавая себя за легитимные DApp, и отображают вводящее в заблуждение содержимое в модальном окне кошелька, чтобы заставить пользователей подтвердить транзакцию. Соответствующие разработчики подтвердили, что будут выпущены новые API для верификации, чтобы снизить риски.
Что такое модальное фишинг-атака?
В исследовании безопасности мобильных кошельков было обнаружено, что некоторые элементы пользовательского интерфейса Web3.0 криптокошельков (UI) могут быть контролируемы злоумышленниками для фишинга. Это называется модальным фишингом, потому что атака в основном нацелена на модальные окна криптокошелька.
Модальное окно ( или модальные ) являются часто используемыми элементами интерфейса в мобильных приложениях, которые обычно отображаются в верхней части основного окна и предназначены для быстрого выполнения операций, таких как одобрение/отклонение запросов на транзакции. Типичный модальный дизайн крипто-кошелька Веб 3.0 предоставляет необходимую информацию для проверки пользователем, а также кнопки для одобрения или отклонения.
Однако эти элементы интерфейса могут быть использованы злоумышленниками для фишинга. Злоумышленники могут изменять детали транзакций, маскируя запросы под "безопасное обновление" и другие вводящие в заблуждение сообщения.
Типичные примеры атак
1. Фишинг DApp через Кошелек Connect
Кошелек Connect — это популярный открытый протокол для подключения пользовательского кошелька к DApp. В процессе сопряжения кошелек отображает метаданные, предоставленные DApp, такие как название, веб-сайт, значок и т.д. Однако кошелек не проверяет достоверность этой информации.
Атакующие могут выдать себя за известный DApp(, такой как Uniswap), чтобы подключиться к кошельку пользователя. При паре модальное окно в кошельке будет отображать информацию о DApp, которая выглядит легитимной. Как только подключение будет успешно, атакующие смогут заменить параметры транзакции и украсть средства.
Хотя модальные дизайны различных Кошельков различаются, злоумышленники все же могут контролировать метаинформацию. В качестве потенциального решения протокол Wallet Connect может заранее проверить действительность информации DApp.
2. Фишинг информации о смарт-контрактах через MetaMask
MetaMask отображает название функции смарт-контракта в модальном окне одобрения транзакции. Злоумышленники могут создать фишинговый смарт-контракт, зарегистрировав название функции как вводящие в заблуждение строки, такие как "SecurityUpdate".
Когда MetaMask анализирует такие фишинг-контракты, он представляет пользователю эти обманчивые имена функций в модальном окне подтверждения. В сочетании с другими управляемыми элементами пользовательского интерфейса, злоумышленник может создать очень убедительный фальшивый запрос на транзакцию.
Заключение
Статья раскрывает некоторые UI-компоненты в модальном окне криптокошелька Веб 3.0, которым не следует слепо доверять. Эти элементы могут быть манипулированы злоумышленниками, создавая крайне обманчивые фишинговые ловушки.
Корень проблемы заключается в том, что приложение кошелька не проверяет должным образом законность представленных элементов пользовательского интерфейса. Разработчики всегда должны рассматривать внешние данные как ненадежные, тщательно отбирая информацию, которую они показывают пользователям, и проверяя ее законность.
В то же время пользователи должны быть осторожны с каждым неизвестным запросом на транзакцию и внимательно относиться ко всем подозрительным операциям, чтобы обеспечить безопасность своих активов.