Веб 3.0 мобильный Кошелек новый промывание глаз: модальное фишинг-атака
В последнее время новую технику фишинга в области Веб 3.0 начали активно обсуждать эксперты по безопасности. Этот метод, известный как "модальная фишинг-атака" (Modal Phishing), в основном направлен на пользователей мобильных Кошельков, вводя их в заблуждение для одобрения злонамеренных транзакций с помощью манипуляции модальными окнами приложений.
Ядро атак с использованием модальных фишинговых схем заключается в использовании распространенных элементов пользовательского интерфейса в мобильных приложениях — модальных окон. Эти окна обычно используются для отображения важной информации, такой как запросы на транзакции, и требуют подтверждения от пользователя. Однако злоумышленники могут контролировать некоторые элементы в этих окнах, чтобы подделать законные на вид запросы, тем самым обманывая пользователей и заставляя их одобрять вредоносные транзакции.
Конкретно, злоумышленник может манипулировать двумя основными аспектами:
Информация о DApp: если используется протокол Wallet Connect, злоумышленник может контролировать отображаемое название, значок и другую информацию децентрализованного приложения (DApp).
Информация о смарт-контрактах: в некоторых приложениях Кошелек злоумышленники могут манипулировать информацией, такой как названия методов смарт-контрактов, отображаемая пользователю.
Типичный сценарий модального фишинга выглядит следующим образом: злоумышленник создает поддельное DApp, утверждая, что он является известной платформой (например, крупной биржей). Когда пользователь пытается подключить Кошелек, злоумышленник может показать фальшивую информацию о DApp в модальном окне, включая правильное название, значок и веб-сайт, чтобы оно выглядело полностью легитимным. Как только соединение установлено, злоумышленник может отправить вредоносные запросы на транзакцию и замаскироваться под безопасное обновление или другие, казалось бы, безобидные действия в модальном окне.
Более обманчивым является то, что некоторые Кошелек приложения могут напрямую отображать названия методов смарт-контракта. Злоумышленники могут зарегистрировать методы с вводящими в заблуждение названиями (например, "SecurityUpdate"), что еще больше увеличивает их надежность.
Эта атака эффективна в основном потому, что многие приложения для Кошелек не проверяют полноту и достоверность отображаемой информации. Например, сам протокол Wallet Connect не проверяет информацию, предоставляемую DApp, а приложения для Кошелек напрямую доверяют и отображают эти непроверенные данные.
Чтобы противостоять этой угрозе, разработчики Кошельков должны применять более строгие меры проверки, сохранять подозрительность ко всем внешним входящим данным и тщательно отбирать информацию, представленную пользователям. В то же время пользователи также должны быть насторожены к каждому неизвестному запросу на транзакцию и не доверять легко информации, отображаемой в модальных окнах.
С развитием экосистемы Веб 3.0 аналогичные вызовы безопасности могут возникать все чаще. Поэтому укрепление образования пользователей, повышение осведомленности о безопасности, а также постоянное совершенствование механизмов безопасности кошелька будут ключевыми для защиты активов пользователей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Модальная фишинг-атака: новый тип промывания глаз для мобильных Кошельков Веб 3.0
Веб 3.0 мобильный Кошелек новый промывание глаз: модальное фишинг-атака
В последнее время новую технику фишинга в области Веб 3.0 начали активно обсуждать эксперты по безопасности. Этот метод, известный как "модальная фишинг-атака" (Modal Phishing), в основном направлен на пользователей мобильных Кошельков, вводя их в заблуждение для одобрения злонамеренных транзакций с помощью манипуляции модальными окнами приложений.
Ядро атак с использованием модальных фишинговых схем заключается в использовании распространенных элементов пользовательского интерфейса в мобильных приложениях — модальных окон. Эти окна обычно используются для отображения важной информации, такой как запросы на транзакции, и требуют подтверждения от пользователя. Однако злоумышленники могут контролировать некоторые элементы в этих окнах, чтобы подделать законные на вид запросы, тем самым обманывая пользователей и заставляя их одобрять вредоносные транзакции.
Конкретно, злоумышленник может манипулировать двумя основными аспектами:
Информация о DApp: если используется протокол Wallet Connect, злоумышленник может контролировать отображаемое название, значок и другую информацию децентрализованного приложения (DApp).
Информация о смарт-контрактах: в некоторых приложениях Кошелек злоумышленники могут манипулировать информацией, такой как названия методов смарт-контрактов, отображаемая пользователю.
Типичный сценарий модального фишинга выглядит следующим образом: злоумышленник создает поддельное DApp, утверждая, что он является известной платформой (например, крупной биржей). Когда пользователь пытается подключить Кошелек, злоумышленник может показать фальшивую информацию о DApp в модальном окне, включая правильное название, значок и веб-сайт, чтобы оно выглядело полностью легитимным. Как только соединение установлено, злоумышленник может отправить вредоносные запросы на транзакцию и замаскироваться под безопасное обновление или другие, казалось бы, безобидные действия в модальном окне.
Более обманчивым является то, что некоторые Кошелек приложения могут напрямую отображать названия методов смарт-контракта. Злоумышленники могут зарегистрировать методы с вводящими в заблуждение названиями (например, "SecurityUpdate"), что еще больше увеличивает их надежность.
Эта атака эффективна в основном потому, что многие приложения для Кошелек не проверяют полноту и достоверность отображаемой информации. Например, сам протокол Wallet Connect не проверяет информацию, предоставляемую DApp, а приложения для Кошелек напрямую доверяют и отображают эти непроверенные данные.
Чтобы противостоять этой угрозе, разработчики Кошельков должны применять более строгие меры проверки, сохранять подозрительность ко всем внешним входящим данным и тщательно отбирать информацию, представленную пользователям. В то же время пользователи также должны быть насторожены к каждому неизвестному запросу на транзакцию и не доверять легко информации, отображаемой в модальных окнах.
С развитием экосистемы Веб 3.0 аналогичные вызовы безопасности могут возникать все чаще. Поэтому укрепление образования пользователей, повышение осведомленности о безопасности, а также постоянное совершенствование механизмов безопасности кошелька будут ключевыми для защиты активов пользователей.
! Развенчиваем миф о новом мошенничестве с мобильным кошельком Web3.0: модальная фишинговая атака