Tấn công lừa đảo mới trên ví tiền di động Web3: Lừa đảo mô hình
Gần đây, các nhà nghiên cứu an ninh đã phát hiện một loại kỹ thuật lừa đảo mới nhắm vào ví tiền di động Web3, được gọi là "tấn công lừa đảo theo mô hình" ( Modal Phishing ). Phương thức tấn công này chủ yếu lợi dụng cửa sổ mô hình trong ứng dụng ví tiền di động, thông qua việc hiển thị thông tin gây hiểu lầm để dụ dỗ người dùng chấp thuận các giao dịch độc hại.
Nguyên lý của cuộc tấn công lừa đảo mô hình
Cửa sổ mô-đun là một yếu tố UI phổ biến trong ứng dụng di động, thường được sử dụng để hiển thị yêu cầu giao dịch và thông tin quan trọng khác. Trong Ví tiền Web3, cửa sổ mô-đun sẽ hiển thị chi tiết giao dịch và cung cấp tùy chọn chấp thuận hoặc từ chối. Tuy nhiên, nghiên cứu cho thấy một số yếu tố UI trong những cửa sổ này có thể bị kẻ tấn công kiểm soát, dẫn đến việc thực hiện các cuộc tấn công lừa đảo.
Có hai hình thức tấn công chính:
Thao tác thông tin DApp thông qua giao thức Wallet Connect
Hiển thị thông tin hợp đồng thông minh
Lỗi giao thức Wallet Connect
Wallet Connect là giao thức mã nguồn mở được sử dụng rộng rãi để kết nối ví tiền của người dùng với DApp. Trong quá trình ghép nối, ví tiền sẽ hiển thị tên, địa chỉ website và biểu tượng của DApp. Tuy nhiên, những thông tin này do DApp cung cấp, ví tiền không xác thực tính chính xác của chúng. Kẻ tấn công có thể giả mạo những thông tin này, giả danh các DApp nổi tiếng để lừa đảo người dùng.
Thao túng thông tin hợp đồng thông minh
Lấy ví dụ từ một ví tiền nổi tiếng, giao diện phê duyệt giao dịch sẽ hiển thị tên phương pháp của hợp đồng thông minh. Thông tin này đến từ bảng đăng ký phương pháp trên chuỗi, có thể bị kẻ tấn công lợi dụng. Bằng cách đăng ký các phương pháp hợp đồng với tên gọi gây hiểu lầm, kẻ tấn công có thể hiển thị các từ ngữ lừa đảo như "cập nhật an toàn" trên giao diện phê duyệt giao dịch.
Đề xuất phòng ngừa
Để đối phó với loại tấn công này, các nhà phát triển ví tiền nên thực hiện các biện pháp sau:
Thực hiện xác thực nghiêm ngặt đối với dữ liệu được nhập từ bên ngoài, không tin tưởng bất kỳ thông tin nào chưa được xác thực.
Cẩn thận chọn thông tin hiển thị cho người dùng và xác minh tính hợp pháp của nó.
Lọc các từ nhạy cảm có thể được sử dụng cho các cuộc tấn công lừa đảo.
Đối với người dùng, cần phải cảnh giác với mỗi yêu cầu giao dịch không rõ ràng, kiểm tra kỹ chi tiết giao dịch và không dễ dàng chấp thuận những yêu cầu không rõ nguồn gốc.
Với sự phát triển của hệ sinh thái Web3, những mối đe dọa an ninh tương tự có thể sẽ xuất hiện liên tục. Các nhà phát triển Ví tiền và người dùng cần nâng cao nhận thức về an ninh, cùng nhau bảo vệ sự an toàn của môi trường Web3.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
7 thích
Phần thưởng
7
5
Đăng lại
Chia sẻ
Bình luận
0/400
ImpermanentSage
· 14giờ trước
Hôm nay lại thêm một loại máy thu hoạch đồ ngốc mới.
Xem bản gốcTrả lời0
GateUser-5854de8b
· 16giờ trước
Không có gì ngạc nhiên khi tài sản bị thanh lý cách đây hai ngày..
Xem bản gốcTrả lời0
GasWhisperer
· 16giờ trước
mẫu gas không bao giờ nói dối... lại một lỗ hổng nữa ẩn mình trong mempool smh
Xem bản gốcTrả lời0
DaisyUnicorn
· 16giờ trước
Lại có máy thu hoạch đồ ngốc mới đến rồi~ Nếu trang trại truyền thống khó trồng thì chuyển sang trồng hoa rồi sao
Ví Web3遭遇 hình thức lừa đảo mới, người dùng cần nâng cao cảnh giác
Tấn công lừa đảo mới trên ví tiền di động Web3: Lừa đảo mô hình
Gần đây, các nhà nghiên cứu an ninh đã phát hiện một loại kỹ thuật lừa đảo mới nhắm vào ví tiền di động Web3, được gọi là "tấn công lừa đảo theo mô hình" ( Modal Phishing ). Phương thức tấn công này chủ yếu lợi dụng cửa sổ mô hình trong ứng dụng ví tiền di động, thông qua việc hiển thị thông tin gây hiểu lầm để dụ dỗ người dùng chấp thuận các giao dịch độc hại.
Nguyên lý của cuộc tấn công lừa đảo mô hình
Cửa sổ mô-đun là một yếu tố UI phổ biến trong ứng dụng di động, thường được sử dụng để hiển thị yêu cầu giao dịch và thông tin quan trọng khác. Trong Ví tiền Web3, cửa sổ mô-đun sẽ hiển thị chi tiết giao dịch và cung cấp tùy chọn chấp thuận hoặc từ chối. Tuy nhiên, nghiên cứu cho thấy một số yếu tố UI trong những cửa sổ này có thể bị kẻ tấn công kiểm soát, dẫn đến việc thực hiện các cuộc tấn công lừa đảo.
Có hai hình thức tấn công chính:
Lỗi giao thức Wallet Connect
Wallet Connect là giao thức mã nguồn mở được sử dụng rộng rãi để kết nối ví tiền của người dùng với DApp. Trong quá trình ghép nối, ví tiền sẽ hiển thị tên, địa chỉ website và biểu tượng của DApp. Tuy nhiên, những thông tin này do DApp cung cấp, ví tiền không xác thực tính chính xác của chúng. Kẻ tấn công có thể giả mạo những thông tin này, giả danh các DApp nổi tiếng để lừa đảo người dùng.
Thao túng thông tin hợp đồng thông minh
Lấy ví dụ từ một ví tiền nổi tiếng, giao diện phê duyệt giao dịch sẽ hiển thị tên phương pháp của hợp đồng thông minh. Thông tin này đến từ bảng đăng ký phương pháp trên chuỗi, có thể bị kẻ tấn công lợi dụng. Bằng cách đăng ký các phương pháp hợp đồng với tên gọi gây hiểu lầm, kẻ tấn công có thể hiển thị các từ ngữ lừa đảo như "cập nhật an toàn" trên giao diện phê duyệt giao dịch.
Đề xuất phòng ngừa
Để đối phó với loại tấn công này, các nhà phát triển ví tiền nên thực hiện các biện pháp sau:
Đối với người dùng, cần phải cảnh giác với mỗi yêu cầu giao dịch không rõ ràng, kiểm tra kỹ chi tiết giao dịch và không dễ dàng chấp thuận những yêu cầu không rõ nguồn gốc.
Với sự phát triển của hệ sinh thái Web3, những mối đe dọa an ninh tương tự có thể sẽ xuất hiện liên tục. Các nhà phát triển Ví tiền và người dùng cần nâng cao nhận thức về an ninh, cùng nhau bảo vệ sự an toàn của môi trường Web3.