Веб 3.0 мобільний гаманець новий тип замилювання очей: модальне фішинг-атака
Нещодавно новий тип техніки фішингу привернув увагу експертів з безпеки в області Веб 3.0. Цей метод, відомий як "модальний фішинг" (Modal Phishing), в основному націлений на користувачів мобільних Гаманців, шляхом маніпуляції модальними вікнами додатків, щоб ввести користувачів в оману і змусити їх затвердити злоякісні транзакції.
Ядром атак модального фішингу є використання поширених елементів інтерфейсу користувача в мобільних додатках — модальних вікон. Ці вікна зазвичай використовуються для відображення важливої інформації, такої як запити на транзакції, і просять користувача підтвердити. Однак зловмисники можуть контролювати певні елементи в цих вікнах, щоб підробити на перший погляд легітимні запити, спонукаючи користувача схвалити шкідливі транзакції.
Конкретно, зловмисник може маніпулювати наступними двома основними аспектами:
Інформація про DApp: якщо використовується протокол Wallet Connect, зловмисник може контролювати відображене ім'я децентралізованого застосунку (DApp), значок та іншу інформацію.
Інформація про смарт-контракт: у деяких гаманець застосуваннях зловмисники можуть маніпулювати відображуваними назвами методів смарт-контракту та іншою інформацією.
Типова сцена модального фішингового нападу виглядає наступним чином: зловмисник створює підроблений DApp, стверджуючи, що він є відомою платформою (наприклад, великим обміном). Коли користувач намагається підключити гаманець, зловмисник може показати у модальному вікні фальшиву інформацію про DApp, включаючи правильну назву, іконку та веб-сайт, щоб виглядати абсолютно легально. Як тільки з'єднання встановлено, зловмисник може надіслати шкідливі запити на транзакцію і замаскуватися у модальному вікні як безпечне оновлення або іншу, здавалося б, безневинну операцію.
Ще більш обманливими є деякі гаманці, які безпосередньо відображають назви методів смарт-контрактів. Зловмисники можуть зареєструвати методи з оманливими назвами (наприклад, "SecurityUpdate"), що ще більше підвищує їхню довіру.
Цей спосіб атаки є ефективним, головним чином, через те, що багато гаманець додатків не змогли належним чином перевірити правдивість відображуваної інформації. Наприклад, протокол Wallet Connect сам по собі не перевіряє інформацію, надану DApp, тоді як гаманець додатки прямо довіряють і показують ці неперевірені дані.
Щоб протистояти цій загрозі, розробники гаманець повинні вжити більш суворих заходів перевірки, зберігаючи скептицизм щодо всіх вхідних даних ззовні та ретельно відбираючи інформацію, що показується користувачам. Водночас користувачі також повинні бути обережними до кожного невідомого запиту на транзакцію, не довіряючи легко інформації, що відображається у вікні модалів.
З розвитком екосистеми Веб 3.0 подібні виклики безпеці можуть ставати все більш частими. Тому зміцнення освіти користувачів, підвищення обізнаності про безпеку та постійне вдосконалення механізмів безпеки гаманець стануть ключовими для захисту активів користувачів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Модальне рибальство: новий тип замилювання очей для мобільних гаманців Web3.0
Веб 3.0 мобільний гаманець новий тип замилювання очей: модальне фішинг-атака
Нещодавно новий тип техніки фішингу привернув увагу експертів з безпеки в області Веб 3.0. Цей метод, відомий як "модальний фішинг" (Modal Phishing), в основному націлений на користувачів мобільних Гаманців, шляхом маніпуляції модальними вікнами додатків, щоб ввести користувачів в оману і змусити їх затвердити злоякісні транзакції.
Ядром атак модального фішингу є використання поширених елементів інтерфейсу користувача в мобільних додатках — модальних вікон. Ці вікна зазвичай використовуються для відображення важливої інформації, такої як запити на транзакції, і просять користувача підтвердити. Однак зловмисники можуть контролювати певні елементи в цих вікнах, щоб підробити на перший погляд легітимні запити, спонукаючи користувача схвалити шкідливі транзакції.
Конкретно, зловмисник може маніпулювати наступними двома основними аспектами:
Інформація про DApp: якщо використовується протокол Wallet Connect, зловмисник може контролювати відображене ім'я децентралізованого застосунку (DApp), значок та іншу інформацію.
Інформація про смарт-контракт: у деяких гаманець застосуваннях зловмисники можуть маніпулювати відображуваними назвами методів смарт-контракту та іншою інформацією.
Типова сцена модального фішингового нападу виглядає наступним чином: зловмисник створює підроблений DApp, стверджуючи, що він є відомою платформою (наприклад, великим обміном). Коли користувач намагається підключити гаманець, зловмисник може показати у модальному вікні фальшиву інформацію про DApp, включаючи правильну назву, іконку та веб-сайт, щоб виглядати абсолютно легально. Як тільки з'єднання встановлено, зловмисник може надіслати шкідливі запити на транзакцію і замаскуватися у модальному вікні як безпечне оновлення або іншу, здавалося б, безневинну операцію.
Ще більш обманливими є деякі гаманці, які безпосередньо відображають назви методів смарт-контрактів. Зловмисники можуть зареєструвати методи з оманливими назвами (наприклад, "SecurityUpdate"), що ще більше підвищує їхню довіру.
Цей спосіб атаки є ефективним, головним чином, через те, що багато гаманець додатків не змогли належним чином перевірити правдивість відображуваної інформації. Наприклад, протокол Wallet Connect сам по собі не перевіряє інформацію, надану DApp, тоді як гаманець додатки прямо довіряють і показують ці неперевірені дані.
Щоб протистояти цій загрозі, розробники гаманець повинні вжити більш суворих заходів перевірки, зберігаючи скептицизм щодо всіх вхідних даних ззовні та ретельно відбираючи інформацію, що показується користувачам. Водночас користувачі також повинні бути обережними до кожного невідомого запиту на транзакцію, не довіряючи легко інформації, що відображається у вікні модалів.
З розвитком екосистеми Веб 3.0 подібні виклики безпеці можуть ставати все більш частими. Тому зміцнення освіти користувачів, підвищення обізнаності про безпеку та постійне вдосконалення механізмів безпеки гаманець стануть ключовими для захисту активів користувачів.