Web3.0 المحفظة المحمولة نوع جديد من التضليل: هجوم الاصطياد النمطي
مؤخراً، أثارت تقنية جديدة للاحتيال عبر الإنترنت في مجال Web3.0 اهتمام خبراء الأمن. تُعرف هذه الطريقة باسم "هجوم الصيد عن طريق النماذج" (Modal Phishing)، والتي تستهدف بشكل رئيسي مستخدمي المحفظة المتنقلة، من خلال التلاعب بنوافذ النماذج في التطبيقات لخداع المستخدمين للموافقة على معاملات خبيثة.
تتمحور هجمات التصيد الاحتيالي في النوافذ المنبثقة حول استغلال عناصر واجهة المستخدم الشائعة في تطبيقات الهاتف المحمول - النوافذ المنبثقة. تُستخدم هذه النوافذ عادةً لعرض معلومات مهمة مثل طلبات المعاملات وتطلب من المستخدم التأكيد. ومع ذلك، يمكن للمهاجمين من خلال التحكم في بعض عناصر هذه النوافذ تزوير طلبات تبدو قانونية، مما يؤدي إلى خداع المستخدمين للموافقة على معاملات ضارة.
على وجه التحديد، يمكن للمهاجمين التلاعب بالجوانب الرئيسية التالية:
معلومات DApp: إذا تم استخدام بروتوكول Wallet Connect، يمكن للمهاجم التحكم في اسم التطبيق اللامركزي (DApp) المعروض، والرمز، وغيرها من المعلومات.
معلومات العقد الذكي: في بعض تطبيقات المحفظة، يمكن للمهاجمين التلاعب بمعلومات مثل أسماء طرق العقد الذكي المعروضة.
سيناريو هجوم تصيد احتيالي نموذجي كما يلي: يقوم المهاجم بإنشاء تطبيق لامركزي مزيف، يدعي أنه منصة مشهورة (مثل بورصة كبيرة). عندما يحاول المستخدم ربط المحفظة، يمكن للمهاجم عرض معلومات تطبيق لامركزي مزيف في نافذة منبثقة، بما في ذلك الاسم الصحيح، الأيقونة، وعنوان الموقع، مما يجعلها تبدو شرعية تمامًا. بمجرد إنشاء الاتصال، يمكن للمهاجم إرسال طلبات معاملات خبيثة، ويتنكر في نافذة منبثقة على أنها تحديثات أمان أو عمليات تبدو غير ضارة.
更具欺骗性的是، بعض تطبيقات المحفظة ستظهر مباشرة أسماء طرق العقود الذكية. يمكن للمهاجمين تسجيل طرق تحمل أسماء مضللة (مثل "SecurityUpdate")، مما يزيد من مصداقيتها بشكل أكبر.
تتمثل فعالية هذا النوع من الهجمات أساسًا في أن العديد من تطبيقات المحفظة لم تتحقق بشكل كافٍ من صحة المعلومات المعروضة. على سبيل المثال، فإن بروتوكول Wallet Connect نفسه لا يتحقق من المعلومات المقدمة من DApp، بينما تثق تطبيقات المحفظة مباشرةً في هذه البيانات غير الموثوقة وتعرضها.
لمواجهة هذا التهديد، يحتاج مطورو المحفظة إلى اتخاذ تدابير تحقق أكثر صرامة، والحفاظ على موقف مشكك تجاه جميع البيانات الواردة من الخارج، وتصنيف المعلومات التي يتم عرضها للمستخدمين بعناية. في نفس الوقت، يجب على المستخدمين أيضًا أن يكونوا حذرين تجاه كل طلب معاملة غير معروف، وألا يثقوا بسهولة في المعلومات المعروضة في نافذة النموذج.
مع استمرار تطور نظام Web3.0 البيئي، قد تزداد التحديات الأمنية المماثلة. لذلك، فإن تعزيز تعليم المستخدمين، وزيادة الوعي الأمني، بالإضافة إلى تحسين آليات أمان تطبيقات المحفظة، سيكون مفتاحاً لحماية أصول المستخدمين.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
الهجمات التصيد الاحتيالي المتغيرة: ظهور نوع جديد من تضليل المحفظة المحمولة في Web3.0
Web3.0 المحفظة المحمولة نوع جديد من التضليل: هجوم الاصطياد النمطي
مؤخراً، أثارت تقنية جديدة للاحتيال عبر الإنترنت في مجال Web3.0 اهتمام خبراء الأمن. تُعرف هذه الطريقة باسم "هجوم الصيد عن طريق النماذج" (Modal Phishing)، والتي تستهدف بشكل رئيسي مستخدمي المحفظة المتنقلة، من خلال التلاعب بنوافذ النماذج في التطبيقات لخداع المستخدمين للموافقة على معاملات خبيثة.
تتمحور هجمات التصيد الاحتيالي في النوافذ المنبثقة حول استغلال عناصر واجهة المستخدم الشائعة في تطبيقات الهاتف المحمول - النوافذ المنبثقة. تُستخدم هذه النوافذ عادةً لعرض معلومات مهمة مثل طلبات المعاملات وتطلب من المستخدم التأكيد. ومع ذلك، يمكن للمهاجمين من خلال التحكم في بعض عناصر هذه النوافذ تزوير طلبات تبدو قانونية، مما يؤدي إلى خداع المستخدمين للموافقة على معاملات ضارة.
على وجه التحديد، يمكن للمهاجمين التلاعب بالجوانب الرئيسية التالية:
معلومات DApp: إذا تم استخدام بروتوكول Wallet Connect، يمكن للمهاجم التحكم في اسم التطبيق اللامركزي (DApp) المعروض، والرمز، وغيرها من المعلومات.
معلومات العقد الذكي: في بعض تطبيقات المحفظة، يمكن للمهاجمين التلاعب بمعلومات مثل أسماء طرق العقد الذكي المعروضة.
سيناريو هجوم تصيد احتيالي نموذجي كما يلي: يقوم المهاجم بإنشاء تطبيق لامركزي مزيف، يدعي أنه منصة مشهورة (مثل بورصة كبيرة). عندما يحاول المستخدم ربط المحفظة، يمكن للمهاجم عرض معلومات تطبيق لامركزي مزيف في نافذة منبثقة، بما في ذلك الاسم الصحيح، الأيقونة، وعنوان الموقع، مما يجعلها تبدو شرعية تمامًا. بمجرد إنشاء الاتصال، يمكن للمهاجم إرسال طلبات معاملات خبيثة، ويتنكر في نافذة منبثقة على أنها تحديثات أمان أو عمليات تبدو غير ضارة.
更具欺骗性的是، بعض تطبيقات المحفظة ستظهر مباشرة أسماء طرق العقود الذكية. يمكن للمهاجمين تسجيل طرق تحمل أسماء مضللة (مثل "SecurityUpdate")، مما يزيد من مصداقيتها بشكل أكبر.
تتمثل فعالية هذا النوع من الهجمات أساسًا في أن العديد من تطبيقات المحفظة لم تتحقق بشكل كافٍ من صحة المعلومات المعروضة. على سبيل المثال، فإن بروتوكول Wallet Connect نفسه لا يتحقق من المعلومات المقدمة من DApp، بينما تثق تطبيقات المحفظة مباشرةً في هذه البيانات غير الموثوقة وتعرضها.
لمواجهة هذا التهديد، يحتاج مطورو المحفظة إلى اتخاذ تدابير تحقق أكثر صرامة، والحفاظ على موقف مشكك تجاه جميع البيانات الواردة من الخارج، وتصنيف المعلومات التي يتم عرضها للمستخدمين بعناية. في نفس الوقت، يجب على المستخدمين أيضًا أن يكونوا حذرين تجاه كل طلب معاملة غير معروف، وألا يثقوا بسهولة في المعلومات المعروضة في نافذة النموذج.
مع استمرار تطور نظام Web3.0 البيئي، قد تزداد التحديات الأمنية المماثلة. لذلك، فإن تعزيز تعليم المستخدمين، وزيادة الوعي الأمني، بالإضافة إلى تحسين آليات أمان تطبيقات المحفظة، سيكون مفتاحاً لحماية أصول المستخدمين.