Web3.0 Dompet baru jenis eyewash: serangan phishing modal
Baru-baru ini, sebuah teknik phishing baru menarik perhatian para ahli keamanan di bidang Web3.0. Metode yang disebut "serangan phishing modal" (Modal Phishing) ini terutama menargetkan pengguna dompet seluler, dengan memanipulasi jendela modal aplikasi untuk menyesatkan pengguna agar menyetujui transaksi berbahaya.
Inti dari serangan phishing modal terletak pada pemanfaatan elemen antarmuka pengguna yang umum dalam aplikasi seluler—jendela modal. Jendela ini biasanya digunakan untuk menampilkan informasi penting seperti permintaan transaksi dan meminta konfirmasi dari pengguna. Namun, penyerang dapat mengendalikan elemen tertentu dalam jendela ini untuk memalsukan permintaan yang tampak sah, sehingga menipu pengguna untuk menyetujui transaksi yang merugikan.
Secara khusus, penyerang dapat memanipulasi dua aspek utama berikut:
Informasi DApp: Jika menggunakan protokol Wallet Connect, penyerang dapat mengontrol nama, ikon, dan informasi lain dari aplikasi terdesentralisasi (DApp) yang ditampilkan.
Informasi kontrak pintar: Dalam beberapa aplikasi dompet, penyerang dapat memanipulasi nama metode kontrak pintar yang ditampilkan dan informasi lainnya.
Skenario tipikal dari serangan phishing model adalah sebagai berikut: Penyerang membuat DApp palsu, mengklaim bahwa mereka adalah platform terkenal (seperti bursa besar). Ketika pengguna mencoba menghubungkan dompet, penyerang dapat menampilkan informasi DApp palsu di jendela model, termasuk nama, ikon, dan situs web yang benar, sehingga terlihat sepenuhnya sah. Setelah koneksi terjalin, penyerang dapat mengirimkan permintaan transaksi berbahaya, dan menyamar di jendela model sebagai pembaruan keamanan atau operasi lain yang tampak tidak berbahaya.
Lebih menipu, beberapa aplikasi Dompet akan langsung menampilkan nama metode kontrak pintar. Penyerang dapat mendaftar metode dengan nama yang menyesatkan (seperti "SecurityUpdate"), yang semakin meningkatkan kredibilitasnya.
Metode serangan ini efektif terutama karena banyak aplikasi dompet gagal memverifikasi keaslian informasi yang ditampilkan. Misalnya, protokol Wallet Connect itu sendiri tidak memverifikasi informasi yang diberikan oleh DApp, sementara aplikasi dompet langsung mempercayai dan menampilkan data yang belum diverifikasi ini.
Untuk menghadapi ancaman ini, pengembang Dompet perlu mengambil langkah-langkah verifikasi yang lebih ketat, tetap skeptis terhadap semua data yang masuk dari luar, dan dengan cermat menyaring informasi yang ditampilkan kepada pengguna. Pada saat yang sama, pengguna juga harus waspada terhadap setiap permintaan transaksi yang tidak dikenal dan tidak mudah percaya pada informasi yang ditampilkan di jendela modal.
Dengan terus berkembangnya ekosistem Web3.0, tantangan keamanan serupa mungkin akan semakin banyak. Oleh karena itu, meningkatkan pendidikan pengguna, meningkatkan kesadaran keamanan, serta terus menyempurnakan mekanisme keamanan aplikasi Dompet akan menjadi kunci untuk melindungi keamanan aset pengguna.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Serangan phishing modal: jenis baru eyeglass Dompet mobile Web3.0 muncul
Web3.0 Dompet baru jenis eyewash: serangan phishing modal
Baru-baru ini, sebuah teknik phishing baru menarik perhatian para ahli keamanan di bidang Web3.0. Metode yang disebut "serangan phishing modal" (Modal Phishing) ini terutama menargetkan pengguna dompet seluler, dengan memanipulasi jendela modal aplikasi untuk menyesatkan pengguna agar menyetujui transaksi berbahaya.
Inti dari serangan phishing modal terletak pada pemanfaatan elemen antarmuka pengguna yang umum dalam aplikasi seluler—jendela modal. Jendela ini biasanya digunakan untuk menampilkan informasi penting seperti permintaan transaksi dan meminta konfirmasi dari pengguna. Namun, penyerang dapat mengendalikan elemen tertentu dalam jendela ini untuk memalsukan permintaan yang tampak sah, sehingga menipu pengguna untuk menyetujui transaksi yang merugikan.
Secara khusus, penyerang dapat memanipulasi dua aspek utama berikut:
Informasi DApp: Jika menggunakan protokol Wallet Connect, penyerang dapat mengontrol nama, ikon, dan informasi lain dari aplikasi terdesentralisasi (DApp) yang ditampilkan.
Informasi kontrak pintar: Dalam beberapa aplikasi dompet, penyerang dapat memanipulasi nama metode kontrak pintar yang ditampilkan dan informasi lainnya.
Skenario tipikal dari serangan phishing model adalah sebagai berikut: Penyerang membuat DApp palsu, mengklaim bahwa mereka adalah platform terkenal (seperti bursa besar). Ketika pengguna mencoba menghubungkan dompet, penyerang dapat menampilkan informasi DApp palsu di jendela model, termasuk nama, ikon, dan situs web yang benar, sehingga terlihat sepenuhnya sah. Setelah koneksi terjalin, penyerang dapat mengirimkan permintaan transaksi berbahaya, dan menyamar di jendela model sebagai pembaruan keamanan atau operasi lain yang tampak tidak berbahaya.
Lebih menipu, beberapa aplikasi Dompet akan langsung menampilkan nama metode kontrak pintar. Penyerang dapat mendaftar metode dengan nama yang menyesatkan (seperti "SecurityUpdate"), yang semakin meningkatkan kredibilitasnya.
Metode serangan ini efektif terutama karena banyak aplikasi dompet gagal memverifikasi keaslian informasi yang ditampilkan. Misalnya, protokol Wallet Connect itu sendiri tidak memverifikasi informasi yang diberikan oleh DApp, sementara aplikasi dompet langsung mempercayai dan menampilkan data yang belum diverifikasi ini.
Untuk menghadapi ancaman ini, pengembang Dompet perlu mengambil langkah-langkah verifikasi yang lebih ketat, tetap skeptis terhadap semua data yang masuk dari luar, dan dengan cermat menyaring informasi yang ditampilkan kepada pengguna. Pada saat yang sama, pengguna juga harus waspada terhadap setiap permintaan transaksi yang tidak dikenal dan tidak mudah percaya pada informasi yang ditampilkan di jendela modal.
Dengan terus berkembangnya ekosistem Web3.0, tantangan keamanan serupa mungkin akan semakin banyak. Oleh karena itu, meningkatkan pendidikan pengguna, meningkatkan kesadaran keamanan, serta terus menyempurnakan mekanisme keamanan aplikasi Dompet akan menjadi kunci untuk melindungi keamanan aset pengguna.