Веб 3.0 мобільний гаманець новий метод фішингу: атака модального фішингу
Нещодавно була виявлена нова технологія фішингу, що націлена на мобільні гаманці Веб 3.0, яка може вводити в оману користувачів, змушуючи їх розкривати особисту інформацію при підключенні до децентралізованих додатків (DApp). Цей метод, відомий як "модальна фішинг-атака"(Modal Phishing), широко використовується.
Зловмисники обманюють користувачів, надсилаючи підроблену інформацію до мобільного гаманця, видаючись за легітимний DApp, і відображаючи оманливий контент у модальному вікні гаманця, щоб спонукати користувачів схвалити транзакцію. Відповідні розробники підтвердили, що вони запровадять новий API перевірки для зниження ризиків.
Що таке модальні фішингові атаки?
У дослідженні безпеки мобільних гаманець виявлено, що деякі елементи інтерфейсу користувача Веб 3.0 криптогаманець (UI) можуть бути контролювані зловмисниками для фішингу. Це називається модальним фішингом, оскільки атаки в основному спрямовані на модальні вікна криптогаманця.
Модаль ( або модальне вікно ) є поширеним елементом UI в мобільних застосунках, зазвичай відображається в верхній частині основного вікна, призначений для швидких дій, таких як підтвердження/відхилення запитів на транзакції тощо. Типовий модальний дизайн криптогаманця Web3.0 надає необхідну інформацію для перевірки користувачем, а також кнопки для підтвердження або відхилення.
Однак ці елементи інтерфейсу можуть бути маніпульовані зловмисниками для фішингу. Зловмисники можуть змінювати деталі транзакцій, маскуючи запити під "безпечне оновлення" та інший обманливий контент.
Типові випадки атак
1. Через Wallet Connect фішинг DApp
Гаманець Connect є широко популярним відкритим протоколом для підключення гаманців користувачів до DApp. Під час процесу сполучення гаманець відображає метадані, надані DApp, такі як назва, веб-сайт, іконка тощо. Але гаманець не перевіряє достовірність цієї інформації.
Зловмисники можуть видавати себе за відомий DApp (, такий як Uniswap ), щоб підключити гаманець користувача. Під час парування модальне вікно гаманця буде показувати, здавалося б, легітимну інформацію про DApp. Після успішного підключення зловмисник може замінити параметри угоди, щоб вкрасти кошти.
Різні модальні дизайни гаманців хоч і відрізняються, але зловмисники можуть контролювати метадані. Як потенційне рішення, протокол Wallet Connect може заздалегідь перевіряти дійсність інформації DApp.
2. Фішинг інформації про смарт-контракти через MetaMask
MetaMask у модальному вікні підтвердження транзакції відображає назву функції смарт-контракту. Зловмисники можуть створювати фішингові смарт-контракти, реєструючи назви функцій як оманливі рядки, такі як "SecurityUpdate".
Коли MetaMask аналізує такі фішингові контракти, він відображає ці обманні назви функцій у модальному вікні дозволу для користувача. В поєднанні з іншими контрольованими елементами інтерфейсу, зловмисники можуть створити дуже переконливі фальшиві запити на транзакції.
Висновок
Ця стаття розкриває певні UI-компоненти в модальному вікні криптогаманця Веб 3.0, яким не слід сліпо довіряти. Ці елементи можуть бути маніпульовані зловмисниками, створюючи надзвичайно оманливі фішингові пастки.
Проблема полягає в тому, що гаманець не перевіряє достатньо законність представлених UI-елементів. Розробники завжди повинні вважати зовнішні дані ненадійними, уважно обирати інформацію, яка відображається користувачеві, та перевіряти її законність.
Одночасно користувачі повинні бути обережними щодо кожного невідомого запиту на транзакцію, уважно ставитися до всіх підозрілих операцій, щоб забезпечити безпеку своїх активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
22 лайків
Нагородити
22
5
Репост
Поділіться
Прокоментувати
0/400
FUD_Whisperer
· 07-21 09:36
Постукайте у дошку, безпека на першому місці!
Переглянути оригіналвідповісти на0
AirdropHunter9000
· 07-20 15:35
Знову рибалка? Справді, це вже не смішно.
Переглянути оригіналвідповісти на0
GasWastingMaximalist
· 07-20 15:31
Знову день скорочення втрат роздрібних інвесторів
Переглянути оригіналвідповісти на0
ProbablyNothing
· 07-20 15:28
Ого, цей обман справді новий на кожному кроці.
Переглянути оригіналвідповісти на0
MevWhisperer
· 07-20 15:08
Прицілюйся на гаманець, а завдай удару з іншого боку.
Веб 3.0 Гаманець нові методи фішингу: модальна атака загрожує безпеці активів користувачів
Веб 3.0 мобільний гаманець новий метод фішингу: атака модального фішингу
Нещодавно була виявлена нова технологія фішингу, що націлена на мобільні гаманці Веб 3.0, яка може вводити в оману користувачів, змушуючи їх розкривати особисту інформацію при підключенні до децентралізованих додатків (DApp). Цей метод, відомий як "модальна фішинг-атака"(Modal Phishing), широко використовується.
Зловмисники обманюють користувачів, надсилаючи підроблену інформацію до мобільного гаманця, видаючись за легітимний DApp, і відображаючи оманливий контент у модальному вікні гаманця, щоб спонукати користувачів схвалити транзакцію. Відповідні розробники підтвердили, що вони запровадять новий API перевірки для зниження ризиків.
Що таке модальні фішингові атаки?
У дослідженні безпеки мобільних гаманець виявлено, що деякі елементи інтерфейсу користувача Веб 3.0 криптогаманець (UI) можуть бути контролювані зловмисниками для фішингу. Це називається модальним фішингом, оскільки атаки в основному спрямовані на модальні вікна криптогаманця.
Модаль ( або модальне вікно ) є поширеним елементом UI в мобільних застосунках, зазвичай відображається в верхній частині основного вікна, призначений для швидких дій, таких як підтвердження/відхилення запитів на транзакції тощо. Типовий модальний дизайн криптогаманця Web3.0 надає необхідну інформацію для перевірки користувачем, а також кнопки для підтвердження або відхилення.
Однак ці елементи інтерфейсу можуть бути маніпульовані зловмисниками для фішингу. Зловмисники можуть змінювати деталі транзакцій, маскуючи запити під "безпечне оновлення" та інший обманливий контент.
Типові випадки атак
1. Через Wallet Connect фішинг DApp
Гаманець Connect є широко популярним відкритим протоколом для підключення гаманців користувачів до DApp. Під час процесу сполучення гаманець відображає метадані, надані DApp, такі як назва, веб-сайт, іконка тощо. Але гаманець не перевіряє достовірність цієї інформації.
Зловмисники можуть видавати себе за відомий DApp (, такий як Uniswap ), щоб підключити гаманець користувача. Під час парування модальне вікно гаманця буде показувати, здавалося б, легітимну інформацію про DApp. Після успішного підключення зловмисник може замінити параметри угоди, щоб вкрасти кошти.
Різні модальні дизайни гаманців хоч і відрізняються, але зловмисники можуть контролювати метадані. Як потенційне рішення, протокол Wallet Connect може заздалегідь перевіряти дійсність інформації DApp.
2. Фішинг інформації про смарт-контракти через MetaMask
MetaMask у модальному вікні підтвердження транзакції відображає назву функції смарт-контракту. Зловмисники можуть створювати фішингові смарт-контракти, реєструючи назви функцій як оманливі рядки, такі як "SecurityUpdate".
Коли MetaMask аналізує такі фішингові контракти, він відображає ці обманні назви функцій у модальному вікні дозволу для користувача. В поєднанні з іншими контрольованими елементами інтерфейсу, зловмисники можуть створити дуже переконливі фальшиві запити на транзакції.
Висновок
Ця стаття розкриває певні UI-компоненти в модальному вікні криптогаманця Веб 3.0, яким не слід сліпо довіряти. Ці елементи можуть бути маніпульовані зловмисниками, створюючи надзвичайно оманливі фішингові пастки.
Проблема полягає в тому, що гаманець не перевіряє достатньо законність представлених UI-елементів. Розробники завжди повинні вважати зовнішні дані ненадійними, уважно обирати інформацію, яка відображається користувачеві, та перевіряти її законність.
Одночасно користувачі повинні бути обережними щодо кожного невідомого запиту на транзакцію, уважно ставитися до всіх підозрілих операцій, щоб забезпечити безпеку своїх активів.