Новый тип фишинга в Web3 мобильных кошельках: модальный фишинг
Недавно исследователи в области безопасности обнаружили новый вид фишинг-технологии, нацеленный на мобильные Кошельки Web3, названный "Модальный фишинг-атак"(Modal Phishing). Этот метод атаки в основном использует модальные окна в мобильных приложениях Кошельков, отображая вводящую в заблуждение информацию, чтобы заставить пользователей одобрить вредоносные транзакции.
Принцип модального фишинга
Модальные окна являются распространённым элементом пользовательского интерфейса в мобильных приложениях, обычно используемым для отображения важных сведений, таких как запросы на交易. В Web3 Кошелек модальные окна показывают детали транзакции и предлагают варианты одобрения или отказа. Однако исследования показывают, что некоторые элементы пользовательского интерфейса в этих окнах могут быть контролируемы злоумышленниками, что позволяет им осуществлять фишинговые атаки.
Существует два основных типа атак:
Управление информацией DApp через протокол Wallet Connect
Управление отображением информации смарт-контракта
Уязвимость протокола Wallet Connect
Wallet Connect — это широко используемый открытый протокол для подключения пользовательских кошельков к DApp. В процессе сопряжения кошелек отображает такие данные, как название DApp, веб-сайт и иконка. Однако эта информация предоставляется DApp, и кошелек не проверяет ее подлинность. Злоумышленник может подделать эту информацию, выдавая себя за известный DApp, чтобы обмануть пользователя.
Манипуляция информацией смарт-контрактов
Например, в одном известном Кошелек интерфейсе одобрения транзакций будет отображаться имя метода смарт-контракта. Эта информация поступает из реестра методов на блокчейне и может быть использована злоумышленниками. Регистрируя методы контрактов с вводящими в заблуждение названиями, злоумышленники могут отображать обманчивые слова, такие как "Безопасное обновление", в интерфейсе одобрения транзакций.
Рекомендации по предотвращению
Чтобы противостоять таким атакам, разработчики Кошельков должны принять следующие меры:
Проводите строгую проверку данных, поступающих извне, не доверяйте никакой непроверенной информации.
Осторожно выбирайте информацию, которую вы показываете пользователям, и проверяйте ее законность.
Фильтровать чувствительные слова, которые могут быть использованы для фишинга.
Для пользователей важно быть осторожными с каждым неизвестным запросом на транзакцию, тщательно проверять детали транзакции и не одобрять сомнительные запросы.
С развитием экосистемы Web3 аналогичные угрозы безопасности могут возникать постоянно. Разработчики кошельков и пользователи должны повышать свою осведомленность о безопасности и совместно поддерживать безопасность среды Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
5
Репост
Поделиться
комментарий
0/400
ImpermanentSage
· 9ч назад
Сегодня снова добавили новый тип неудачников-уборщиков.
Посмотреть ОригиналОтветить0
GateUser-5854de8b
· 11ч назад
Неудивительно, что два дня назад активы были ликвидированы..
Посмотреть ОригиналОтветить0
GasWhisperer
· 12ч назад
Газ паттерны никогда не врут... еще одна уязвимость скрывается в мемпуле смх
Посмотреть ОригиналОтветить0
DaisyUnicorn
· 12ч назад
Снова пришли новые неудачники для разыгрывания людей как лохов~ Если традиционным牧场 стало сложно выращивать, значит, решили сажать цветы?
Кошелек Web3遭遇新型模дальный фишинг-атак пользователи должны повысить бдительность
Новый тип фишинга в Web3 мобильных кошельках: модальный фишинг
Недавно исследователи в области безопасности обнаружили новый вид фишинг-технологии, нацеленный на мобильные Кошельки Web3, названный "Модальный фишинг-атак"(Modal Phishing). Этот метод атаки в основном использует модальные окна в мобильных приложениях Кошельков, отображая вводящую в заблуждение информацию, чтобы заставить пользователей одобрить вредоносные транзакции.
Принцип модального фишинга
Модальные окна являются распространённым элементом пользовательского интерфейса в мобильных приложениях, обычно используемым для отображения важных сведений, таких как запросы на交易. В Web3 Кошелек модальные окна показывают детали транзакции и предлагают варианты одобрения или отказа. Однако исследования показывают, что некоторые элементы пользовательского интерфейса в этих окнах могут быть контролируемы злоумышленниками, что позволяет им осуществлять фишинговые атаки.
Существует два основных типа атак:
Уязвимость протокола Wallet Connect
Wallet Connect — это широко используемый открытый протокол для подключения пользовательских кошельков к DApp. В процессе сопряжения кошелек отображает такие данные, как название DApp, веб-сайт и иконка. Однако эта информация предоставляется DApp, и кошелек не проверяет ее подлинность. Злоумышленник может подделать эту информацию, выдавая себя за известный DApp, чтобы обмануть пользователя.
Манипуляция информацией смарт-контрактов
Например, в одном известном Кошелек интерфейсе одобрения транзакций будет отображаться имя метода смарт-контракта. Эта информация поступает из реестра методов на блокчейне и может быть использована злоумышленниками. Регистрируя методы контрактов с вводящими в заблуждение названиями, злоумышленники могут отображать обманчивые слова, такие как "Безопасное обновление", в интерфейсе одобрения транзакций.
Рекомендации по предотвращению
Чтобы противостоять таким атакам, разработчики Кошельков должны принять следующие меры:
Для пользователей важно быть осторожными с каждым неизвестным запросом на транзакцию, тщательно проверять детали транзакции и не одобрять сомнительные запросы.
С развитием экосистемы Web3 аналогичные угрозы безопасности могут возникать постоянно. Разработчики кошельков и пользователи должны повышать свою осведомленность о безопасности и совместно поддерживать безопасность среды Web3.