# Web3モバイルウォレット新型フィッシング攻撃:モーダルフィッシング最近、安全研究者はWeb3モバイルウォレットに対する新しいフィッシング技術を発見し、"モーダルフィッシング攻撃"(Modal Phishing)と名付けました。この攻撃手法は、モバイルウォレットアプリケーション内のモーダルウィンドウを利用し、誤解を招く情報を表示することでユーザーに悪意のある取引を承認させるように仕向けます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## モーダルフィッシング攻撃の原理モーダルウィンドウは、モバイルアプリケーションで一般的なUI要素であり、通常、取引リクエストなどの重要な情報を表示するために使用されます。Web3ウォレットでは、モーダルウィンドウが取引の詳細を表示し、承認または拒否のオプションを提供します。しかし、調査によると、これらのウィンドウの一部のUI要素は攻撃者に制御される可能性があり、フィッシング攻撃を実施することができます。主に2つの攻撃方法が存在します:1. Wallet ConnectプロトコルによるDApp情報の操作2. スマートコントラクト情報の表示操作! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)### ウォレット Connectプロトコルの脆弱性ウォレットコネクトは、ユーザーのウォレットとDAppを接続するために広く使用されているオープンソースプロトコルです。ペアリングプロセス中、ウォレットはDAppの名前、URL、アイコンなどの情報を表示します。しかし、これらの情報はDAppによって提供されており、ウォレットはその正確性を検証しません。攻撃者はこれらの情報を偽造し、著名なDAppになりすましてユーザーを欺くことができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)### スマートコントラクト情報操作ある有名なウォレットを例に挙げると、その取引承認インターフェースにはスマートコントラクトのメソッド名が表示されます。この情報はオンチェーンメソッドレジストリから得られ、攻撃者に利用される可能性があります。誤解を招く名称のコントラクトメソッドを登録することで、攻撃者は取引承認インターフェースに"安全な更新"などの欺瞞的な文言を表示させることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)## 予防に関する推奨事項この種の攻撃に対処するために、ウォレット開発者は以下の対策を講じるべきです:1. 外部からのデータに対して厳格な検証を行い、検証されていない情報を軽信しない。2. ユーザーに表示する情報を慎重に選択し、その合法性を確認します。3. フィッシング攻撃に使用される可能性のあるセンシティブな単語をフィルタリングします。ユーザーにとって、未知の取引リクエストには警戒し、取引の詳細を慎重に確認し、出所が不明なリクエストを軽々しく承認しないようにすることが重要です。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)Web3エコシステムの発展に伴い、同様のセキュリティ脅威が今後も現れる可能性があります。ウォレットの開発者とユーザーは、安全意識を高め、Web3環境の安全を共に維持する必要があります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)
Web3ウォレットは新しいモーダルフィッシング攻撃に直面しており、ユーザーは警戒を高める必要があります。
Web3モバイルウォレット新型フィッシング攻撃:モーダルフィッシング
最近、安全研究者はWeb3モバイルウォレットに対する新しいフィッシング技術を発見し、"モーダルフィッシング攻撃"(Modal Phishing)と名付けました。この攻撃手法は、モバイルウォレットアプリケーション内のモーダルウィンドウを利用し、誤解を招く情報を表示することでユーザーに悪意のある取引を承認させるように仕向けます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
モーダルフィッシング攻撃の原理
モーダルウィンドウは、モバイルアプリケーションで一般的なUI要素であり、通常、取引リクエストなどの重要な情報を表示するために使用されます。Web3ウォレットでは、モーダルウィンドウが取引の詳細を表示し、承認または拒否のオプションを提供します。しかし、調査によると、これらのウィンドウの一部のUI要素は攻撃者に制御される可能性があり、フィッシング攻撃を実施することができます。
主に2つの攻撃方法が存在します:
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
ウォレット Connectプロトコルの脆弱性
ウォレットコネクトは、ユーザーのウォレットとDAppを接続するために広く使用されているオープンソースプロトコルです。ペアリングプロセス中、ウォレットはDAppの名前、URL、アイコンなどの情報を表示します。しかし、これらの情報はDAppによって提供されており、ウォレットはその正確性を検証しません。攻撃者はこれらの情報を偽造し、著名なDAppになりすましてユーザーを欺くことができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
スマートコントラクト情報操作
ある有名なウォレットを例に挙げると、その取引承認インターフェースにはスマートコントラクトのメソッド名が表示されます。この情報はオンチェーンメソッドレジストリから得られ、攻撃者に利用される可能性があります。誤解を招く名称のコントラクトメソッドを登録することで、攻撃者は取引承認インターフェースに"安全な更新"などの欺瞞的な文言を表示させることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
予防に関する推奨事項
この種の攻撃に対処するために、ウォレット開発者は以下の対策を講じるべきです:
ユーザーにとって、未知の取引リクエストには警戒し、取引の詳細を慎重に確認し、出所が不明なリクエストを軽々しく承認しないようにすることが重要です。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
Web3エコシステムの発展に伴い、同様のセキュリティ脅威が今後も現れる可能性があります。ウォレットの開発者とユーザーは、安全意識を高め、Web3環境の安全を共に維持する必要があります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング