Новий тип риболовлі для мобільних гаманців Web3: модальна риболовля
Нещодавно дослідники з безпеки виявили новий тип фішингової техніки, спрямований на Web3 мобільні гаманці, який отримав назву "модальний фішинг"(Modal Phishing). Цей метод атаки в основному використовує модальні вікна в мобільних гаманцях, показуючи оманливу інформацію, щоб спонукати користувачів затвердити шкідливі транзакції.
Принципи модального фішингу
Модальні вікна є поширеними елементами інтерфейсу у мобільних додатках, які зазвичай використовуються для відображення важливої інформації, такої як запити на транзакцію. У Web3 гаманець модальні вікна відображають деталі транзакції та надають можливості для затвердження або відхилення. Однак дослідження показали, що деякі елементи інтерфейсу в цих вікнах можуть бути контрольовані зловмисниками, що дозволяє їм здійснювати фішингові атаки.
Основними існує два види атак:
Керування інформацією DApp через протокол Wallet Connect
Маніпуляція інформацією про смарт-контракти
Уразливість протоколу Wallet Connect
Wallet Connect є широко використовуваним відкритим протоколом для підключення гаманців користувачів до DApp. Під час процесу спарювання гаманець відображає назву DApp, веб-сайт та значок тощо. Але ця інформація надається DApp, гаманець не перевіряє її достовірність. Зловмисники можуть підробляти цю інформацію, видаючи себе за відомі DApp, щоб ошукати користувачів.
Маніпуляція інформацією про смарт-контракти
Наприклад, у випадку з відомим гаманець, інтерфейс затвердження транзакцій відображатиме назву методу смарт-контракту. Ця інформація походить з реєстру методів на блокчейні і може бути використана зловмисниками. Зареєструвавши методи контракту з оманливими назвами, зловмисники можуть відображати в інтерфейсі затвердження транзакцій такі обманливі тексти, як "безпечне оновлення".
Рекомендації щодо запобігання
Для боротьби з такими атаками розробники гаманець повинні вжити такі заходи:
Провести ретельну перевірку зовнішніх даних, не довіряти жодній неперевіреній інформації.
Обережно обирайте інформацію, яку ви показуєте користувачам, і перевіряйте її законність.
Фільтрувати чутливі слова, які можуть бути використані для фішингових атак.
Для користувачів важливо бути обережними щодо кожного невідомого запиту на транзакцію, ретельно перевіряти деталі транзакції та не схвалювати запити з незрозумілим походженням.
З розвитком екосистеми Web3 подібні загрози безпеці можуть з'являтися постійно. Розробники гаманець і користувачі повинні підвищити обізнаність про безпеку та спільно підтримувати безпеку середовища Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
5
Репост
Поділіться
Прокоментувати
0/400
ImpermanentSage
· 15год тому
Сьогодні знову додали новий тип обдурювачів невдах.
Переглянути оригіналвідповісти на0
GateUser-5854de8b
· 17год тому
Не дивно, що кілька днів тому активи були ліквідовані..
Переглянути оригіналвідповісти на0
GasWhisperer
· 17год тому
газові патерни ніколи не брешуть... ще одна експлуатація, що чекає в пулі пам'яті, смх
Переглянути оригіналвідповісти на0
DaisyUnicorn
· 18год тому
Знову прийшов новий обдурювач людей, як лохів~ Традиційні ферми важко вирощувати, тож стали вирощувати квіти?
Переглянути оригіналвідповісти на0
CryptoAdventurer
· 18год тому
Знову настала чергова хвиля податку на інтелект невдах.
Web3-гаманці страждають від нових модальних фішингових атак, і користувачам потрібно бути пильними
Новий тип риболовлі для мобільних гаманців Web3: модальна риболовля
Нещодавно дослідники з безпеки виявили новий тип фішингової техніки, спрямований на Web3 мобільні гаманці, який отримав назву "модальний фішинг"(Modal Phishing). Цей метод атаки в основному використовує модальні вікна в мобільних гаманцях, показуючи оманливу інформацію, щоб спонукати користувачів затвердити шкідливі транзакції.
Принципи модального фішингу
Модальні вікна є поширеними елементами інтерфейсу у мобільних додатках, які зазвичай використовуються для відображення важливої інформації, такої як запити на транзакцію. У Web3 гаманець модальні вікна відображають деталі транзакції та надають можливості для затвердження або відхилення. Однак дослідження показали, що деякі елементи інтерфейсу в цих вікнах можуть бути контрольовані зловмисниками, що дозволяє їм здійснювати фішингові атаки.
Основними існує два види атак:
Уразливість протоколу Wallet Connect
Wallet Connect є широко використовуваним відкритим протоколом для підключення гаманців користувачів до DApp. Під час процесу спарювання гаманець відображає назву DApp, веб-сайт та значок тощо. Але ця інформація надається DApp, гаманець не перевіряє її достовірність. Зловмисники можуть підробляти цю інформацію, видаючи себе за відомі DApp, щоб ошукати користувачів.
Маніпуляція інформацією про смарт-контракти
Наприклад, у випадку з відомим гаманець, інтерфейс затвердження транзакцій відображатиме назву методу смарт-контракту. Ця інформація походить з реєстру методів на блокчейні і може бути використана зловмисниками. Зареєструвавши методи контракту з оманливими назвами, зловмисники можуть відображати в інтерфейсі затвердження транзакцій такі обманливі тексти, як "безпечне оновлення".
Рекомендації щодо запобігання
Для боротьби з такими атаками розробники гаманець повинні вжити такі заходи:
Для користувачів важливо бути обережними щодо кожного невідомого запиту на транзакцію, ретельно перевіряти деталі транзакції та не схвалювати запити з незрозумілим походженням.
З розвитком екосистеми Web3 подібні загрози безпеці можуть з'являтися постійно. Розробники гаманець і користувачі повинні підвищити обізнаність про безпеку та спільно підтримувати безпеку середовища Web3.