Web3.0 Mobil Cüzdan Yeni Kimlik Avı Yöntemi: Modüler Kimlik Avı Saldırısı
Son zamanlarda Web3.0 mobil cüzdanlarına yönelik yeni bir kimlik avı tekniği keşfedildi; bu teknik, kullanıcıları merkeziyetsiz uygulamalara (DApp) bağlanırken kimlik bilgilerini ifşa etmeye yönlendirebilir. "Modal Phishing"(Modal Phishing) olarak adlandırılan bu yöntem yaygın olarak kullanılmaktadır.
Saldırganlar, mobil cüzdana sahte bilgiler göndererek meşru DApp'i taklit etmekte ve cüzdanın modal penceresinde yanıltıcı içerikler göstererek kullanıcıları işlemi onaylamaya kandırmaktadır. İlgili geliştiriciler, riski azaltmak için yeni bir doğrulama API'si piyasaya süreceklerini doğruladı.
Modül Kimlik Avı Saldırısı Nedir?
Mobil cüzdanların güvenlik araştırmasında, Web3.0 kripto cüzdanının bazı kullanıcı arayüzü (UI) öğelerinin saldırganlar tarafından kimlik avı için kontrol edilebileceği tespit edilmiştir. Buna modal kimlik avı denmesinin nedeni, saldırının esasen kripto cüzdanının modal pencerelerini hedef almasıdır.
Mod ( veya mod penceresi ), mobil uygulamalarda yaygın olarak kullanılan UI öğeleridir ve genellikle ana pencerenin üstünde görüntülenir. Hızlı işlemler için, örneğin işlem taleplerini onaylama/red etme gibi, kullanılır. Web3.0 kripto Cüzdanlarının tipik mod tasarımı, kullanıcıların kontrol etmesi için gerekli bilgileri sağlar ve onaylama veya reddetme butonları içerir.
Ancak, bu UI öğeleri saldırganlar tarafından Kimlik Avı için manipüle edilebilir. Saldırganlar işlem ayrıntılarını değiştirebilir ve talepleri "güvenli güncelleme" gibi yanıltıcı içerikler olarak maskeleyebilir.
Tipik Saldırı Örnekleri
1. Wallet Connect ile DApp Kimlik Avı
Cüzdan Connect, kullanıcı cüzdanlarını DApp ile bağlamak için yaygın olarak kullanılan bir açık kaynak protokolüdür. Eşleştirme sürecinde, cüzdan DApp tarafından sağlanan meta bilgileri, örneğin isim, web sitesi, simge vb. gibi bilgileri görüntüler. Ancak cüzdan, bu bilgilerin doğruluğunu doğrulamaz.
Saldırganlar, kullanıcı cüzdanlarına bağlanmak için Uniswap( gibi tanınmış DApp)'ı taklit edebilir. Eşleştirme sırasında, cüzdan içindeki modal pencere, görünüşte meşru DApp bilgilerini gösterecektir. Bağlantı başarılı olduğunda, saldırganlar işlem parametrelerini değiştirerek fonları çalabilir.
Farklı cüzdanların mod tasarımları farklılık gösterse de, saldırganlar meta bilgileri kontrol edebilir. Potansiyel bir çözüm olarak, Wallet Connect protokolü DApp bilgilerinin geçerliliğini önceden doğrulayabilir.
2. MetaMask ile akıllı sözleşme bilgisi Kimlik Avı
MetaMask, işlem onay modalında akıllı sözleşmenin fonksiyon adını gösterecektir. Saldırganlar, "SecurityUpdate" gibi yanıltıcı dizgeleri fonksiyon adı olarak kaydederek kimlik avı akıllı sözleşmeleri oluşturabilir.
MetaMask bu tür kimlik avı sözleşmelerini çözdüğünde, onay modalında kullanıcılara bu aldatıcı işlev adlarını sunar. Diğer kontrol edilebilir UI unsurlarıyla bir araya geldiğinde, saldırganlar son derece ikna edici sahte işlem talepleri oluşturabilir.
Sonuç
Bu makale, Web3.0 Cüzdan mod penceresinde körü körüne güvenilmemesi gereken bazı UI bileşenlerini ortaya koymaktadır. Bu öğeler, saldırganlar tarafından manipüle edilebilir ve son derece yanıltıcı Kimlik Avı tuzakları oluşturulabilir.
Sorunun kaynağı, cüzdan uygulamasının sunulan UI öğelerinin geçerliliğini yeterince doğrulamamasıdır. Geliştiriciler, her zaman dış verileri güvensiz olarak değerlendirmeli, kullanıcılara gösterilecek bilgileri dikkatlice seçmeli ve bunların geçerliliğini doğrulamalıdır.
Aynı zamanda, kullanıcılar her bilinmeyen işlem isteğine karşı dikkatli olmalı ve tüm şüpheli işlemlere temkinli yaklaşmalıdırlar, böylece kendi varlıklarının güvenliğini sağlasınlar.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
22 Likes
Reward
22
5
Repost
Share
Comment
0/400
FUD_Whisperer
· 07-21 09:36
Tahta çalmak, güvenlik birinci sırada!
View OriginalReply0
AirdropHunter9000
· 07-20 15:35
Yine oltalama mı? Gerçekten baş belası.
View OriginalReply0
GasWastingMaximalist
· 07-20 15:31
Yine bireysel yatırımcıların kesinti kaybı yaşadığı bir gün.
View OriginalReply0
ProbablyNothing
· 07-20 15:28
Vay be, bu dolandırıcılık gerçekten her yeni karşılaştığımda beni şaşırtıyor.
Web3.0 Cüzdan yeni tür phishing yöntemi: modal saldırı kullanıcı varlık güvenliğini tehdit ediyor
Web3.0 Mobil Cüzdan Yeni Kimlik Avı Yöntemi: Modüler Kimlik Avı Saldırısı
Son zamanlarda Web3.0 mobil cüzdanlarına yönelik yeni bir kimlik avı tekniği keşfedildi; bu teknik, kullanıcıları merkeziyetsiz uygulamalara (DApp) bağlanırken kimlik bilgilerini ifşa etmeye yönlendirebilir. "Modal Phishing"(Modal Phishing) olarak adlandırılan bu yöntem yaygın olarak kullanılmaktadır.
Saldırganlar, mobil cüzdana sahte bilgiler göndererek meşru DApp'i taklit etmekte ve cüzdanın modal penceresinde yanıltıcı içerikler göstererek kullanıcıları işlemi onaylamaya kandırmaktadır. İlgili geliştiriciler, riski azaltmak için yeni bir doğrulama API'si piyasaya süreceklerini doğruladı.
Modül Kimlik Avı Saldırısı Nedir?
Mobil cüzdanların güvenlik araştırmasında, Web3.0 kripto cüzdanının bazı kullanıcı arayüzü (UI) öğelerinin saldırganlar tarafından kimlik avı için kontrol edilebileceği tespit edilmiştir. Buna modal kimlik avı denmesinin nedeni, saldırının esasen kripto cüzdanının modal pencerelerini hedef almasıdır.
Mod ( veya mod penceresi ), mobil uygulamalarda yaygın olarak kullanılan UI öğeleridir ve genellikle ana pencerenin üstünde görüntülenir. Hızlı işlemler için, örneğin işlem taleplerini onaylama/red etme gibi, kullanılır. Web3.0 kripto Cüzdanlarının tipik mod tasarımı, kullanıcıların kontrol etmesi için gerekli bilgileri sağlar ve onaylama veya reddetme butonları içerir.
Ancak, bu UI öğeleri saldırganlar tarafından Kimlik Avı için manipüle edilebilir. Saldırganlar işlem ayrıntılarını değiştirebilir ve talepleri "güvenli güncelleme" gibi yanıltıcı içerikler olarak maskeleyebilir.
Tipik Saldırı Örnekleri
1. Wallet Connect ile DApp Kimlik Avı
Cüzdan Connect, kullanıcı cüzdanlarını DApp ile bağlamak için yaygın olarak kullanılan bir açık kaynak protokolüdür. Eşleştirme sürecinde, cüzdan DApp tarafından sağlanan meta bilgileri, örneğin isim, web sitesi, simge vb. gibi bilgileri görüntüler. Ancak cüzdan, bu bilgilerin doğruluğunu doğrulamaz.
Saldırganlar, kullanıcı cüzdanlarına bağlanmak için Uniswap( gibi tanınmış DApp)'ı taklit edebilir. Eşleştirme sırasında, cüzdan içindeki modal pencere, görünüşte meşru DApp bilgilerini gösterecektir. Bağlantı başarılı olduğunda, saldırganlar işlem parametrelerini değiştirerek fonları çalabilir.
Farklı cüzdanların mod tasarımları farklılık gösterse de, saldırganlar meta bilgileri kontrol edebilir. Potansiyel bir çözüm olarak, Wallet Connect protokolü DApp bilgilerinin geçerliliğini önceden doğrulayabilir.
2. MetaMask ile akıllı sözleşme bilgisi Kimlik Avı
MetaMask, işlem onay modalında akıllı sözleşmenin fonksiyon adını gösterecektir. Saldırganlar, "SecurityUpdate" gibi yanıltıcı dizgeleri fonksiyon adı olarak kaydederek kimlik avı akıllı sözleşmeleri oluşturabilir.
MetaMask bu tür kimlik avı sözleşmelerini çözdüğünde, onay modalında kullanıcılara bu aldatıcı işlev adlarını sunar. Diğer kontrol edilebilir UI unsurlarıyla bir araya geldiğinde, saldırganlar son derece ikna edici sahte işlem talepleri oluşturabilir.
Sonuç
Bu makale, Web3.0 Cüzdan mod penceresinde körü körüne güvenilmemesi gereken bazı UI bileşenlerini ortaya koymaktadır. Bu öğeler, saldırganlar tarafından manipüle edilebilir ve son derece yanıltıcı Kimlik Avı tuzakları oluşturulabilir.
Sorunun kaynağı, cüzdan uygulamasının sunulan UI öğelerinin geçerliliğini yeterince doğrulamamasıdır. Geliştiriciler, her zaman dış verileri güvensiz olarak değerlendirmeli, kullanıcılara gösterilecek bilgileri dikkatlice seçmeli ve bunların geçerliliğini doğrulamalıdır.
Aynı zamanda, kullanıcılar her bilinmeyen işlem isteğine karşı dikkatli olmalı ve tüm şüpheli işlemlere temkinli yaklaşmalıdırlar, böylece kendi varlıklarının güvenliğini sağlasınlar.