هجمات التصيد الجديدة على المحافظ المحمولة Web3: تصيد نمطي
مؤخراً، اكتشف الباحثون في مجال الأمان تقنية جديدة للخداع تستهدف المحفظة المحمولة في Web3، أطلق عليها اسم "هجوم الصيد النمطي" ( Modal Phishing ). تعتمد هذه الطريقة في الهجوم بشكل رئيسي على استخدام النوافذ النمطية في تطبيقات المحفظة المحمولة، من خلال عرض معلومات مضللة لخداع المستخدمين للموافقة على معاملات خبيثة.
مبدأ هجوم التصيد الاحتيالي النمطي
تعد النوافذ المنبثقة عناصر واجهة مستخدم شائعة في التطبيقات المحمولة، وغالبًا ما تستخدم لعرض معلومات مهمة مثل طلبات المعاملات. في محفظة Web3، ستظهر النوافذ المنبثقة تفاصيل المعاملة وتوفر خيارات الموافقة أو الرفض. ومع ذلك، أظهرت الدراسات أن بعض عناصر واجهة المستخدم في هذه النوافذ يمكن أن يتم التحكم فيها من قبل المهاجمين، مما يسمح بتنفيذ هجمات التصيد.
يوجد نوعان رئيسيان من أساليب الهجوم:
التحكم في معلومات DApp من خلال بروتوكول Wallet Connect
عرض معلومات عقد ذكي
ثغرة بروتوكول Wallet Connect
محفظة Connect هو بروتوكول مفتوح المصدر مستخدم على نطاق واسع لربط المحفظة الخاصة بالمستخدم مع التطبيقات اللامركزية (DApp). أثناء عملية الاقتران، ستظهر المحفظة اسم DApp، ورابطه، ورمزه. لكن هذه المعلومات مقدمة من DApp، ولا تتحقق المحفظة من صحتها. يمكن للمهاجمين تزوير هذه المعلومات، وانتحال صفة DApp المعروفة لخداع المستخدمين.
تلاعب بمعلومات العقد الذكي
كمثال على محفظة معروفة، ستظهر واجهة الموافقة على المعاملات اسم طريقة العقد الذكي. تأتي هذه المعلومات من سجل طرق العقد على السلسلة، ويمكن أن يستغلها المهاجمون. من خلال تسجيل طرق عقود تحمل أسماء مضللة، يمكن للمهاجمين عرض نصوص خادعة مثل "تحديث آمن" في واجهة الموافقة على المعاملات.
نصائح للوقاية
للتصدي لمثل هذه الهجمات، ينبغي على مطوري المحفظة اتخاذ الإجراءات التالية:
إجراء تحقق صارم من البيانات الواردة من الخارج، وعدم الثقة في أي معلومات غير موثقة.
اختَر المعلومات التي تعرضها للمستخدمين بحذر وتحقق من قانونيتها.
تصفية الكلمات الحساسة التي قد تُستخدم في هجمات التصيد.
بالنسبة للمستخدمين، يجب أن يكونوا حذرين تجاه كل طلب معاملة غير معروف، والتحقق بعناية من تفاصيل المعاملة، وعدم الموافقة بسهولة على الطلبات غير المعروفة.
مع تطور نظام Web3 البيئي، قد تظهر تهديدات أمنية مماثلة بشكل مستمر. يحتاج مطورو المحفظة والمستخدمون إلى تعزيز الوعي الأمني معًا للحفاظ على أمان بيئة Web3.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 7
أعجبني
7
5
إعادة النشر
مشاركة
تعليق
0/400
ImpermanentSage
· منذ 15 س
اليوم أضيفت آلة جديدة لحمقى.
شاهد النسخة الأصليةرد0
GateUser-5854de8b
· منذ 17 س
لا عجب أن الأصول تم تصفيتها قبل يومين..
شاهد النسخة الأصليةرد0
GasWhisperer
· منذ 17 س
أنماط الغاز لا تكذب أبدًا... لا يزال هناك استغلال آخر يختبئ في mempool smh
تعاني محافظ Web3 من هجمات التصيد الاحتيالي النموذجية الجديدة ، ويحتاج المستخدمون إلى توخي الحذر
هجمات التصيد الجديدة على المحافظ المحمولة Web3: تصيد نمطي
مؤخراً، اكتشف الباحثون في مجال الأمان تقنية جديدة للخداع تستهدف المحفظة المحمولة في Web3، أطلق عليها اسم "هجوم الصيد النمطي" ( Modal Phishing ). تعتمد هذه الطريقة في الهجوم بشكل رئيسي على استخدام النوافذ النمطية في تطبيقات المحفظة المحمولة، من خلال عرض معلومات مضللة لخداع المستخدمين للموافقة على معاملات خبيثة.
مبدأ هجوم التصيد الاحتيالي النمطي
تعد النوافذ المنبثقة عناصر واجهة مستخدم شائعة في التطبيقات المحمولة، وغالبًا ما تستخدم لعرض معلومات مهمة مثل طلبات المعاملات. في محفظة Web3، ستظهر النوافذ المنبثقة تفاصيل المعاملة وتوفر خيارات الموافقة أو الرفض. ومع ذلك، أظهرت الدراسات أن بعض عناصر واجهة المستخدم في هذه النوافذ يمكن أن يتم التحكم فيها من قبل المهاجمين، مما يسمح بتنفيذ هجمات التصيد.
يوجد نوعان رئيسيان من أساليب الهجوم:
ثغرة بروتوكول Wallet Connect
محفظة Connect هو بروتوكول مفتوح المصدر مستخدم على نطاق واسع لربط المحفظة الخاصة بالمستخدم مع التطبيقات اللامركزية (DApp). أثناء عملية الاقتران، ستظهر المحفظة اسم DApp، ورابطه، ورمزه. لكن هذه المعلومات مقدمة من DApp، ولا تتحقق المحفظة من صحتها. يمكن للمهاجمين تزوير هذه المعلومات، وانتحال صفة DApp المعروفة لخداع المستخدمين.
تلاعب بمعلومات العقد الذكي
كمثال على محفظة معروفة، ستظهر واجهة الموافقة على المعاملات اسم طريقة العقد الذكي. تأتي هذه المعلومات من سجل طرق العقد على السلسلة، ويمكن أن يستغلها المهاجمون. من خلال تسجيل طرق عقود تحمل أسماء مضللة، يمكن للمهاجمين عرض نصوص خادعة مثل "تحديث آمن" في واجهة الموافقة على المعاملات.
نصائح للوقاية
للتصدي لمثل هذه الهجمات، ينبغي على مطوري المحفظة اتخاذ الإجراءات التالية:
بالنسبة للمستخدمين، يجب أن يكونوا حذرين تجاه كل طلب معاملة غير معروف، والتحقق بعناية من تفاصيل المعاملة، وعدم الموافقة بسهولة على الطلبات غير المعروفة.
مع تطور نظام Web3 البيئي، قد تظهر تهديدات أمنية مماثلة بشكل مستمر. يحتاج مطورو المحفظة والمستخدمون إلى تعزيز الوعي الأمني معًا للحفاظ على أمان بيئة Web3.