تحذير أمان المحفظة المحمولة Web3.0: هجوم تصيد عبر نافذة نموذجية
مؤخراً، اكتشف الباحثون في الأمن تقنية جديدة للاحتيال تستهدف المحفظة المحمولة في Web3.0، تُعرف باسم "هجوم الصيد النمطي". تعتمد هذه التقنية على استغلال النوافذ النمطية في تطبيقات المحفظة المحمولة، من خلال عرض معلومات مضللة لإغراء المستخدمين بالموافقة على معاملات خبيثة.
ما هو هجوم الصيد الاحتيالي النموذجي؟
تستهدف هجمات التصيد الاحتيالي المودالي بشكل رئيسي النوافذ المودالية في تطبيقات محافظ العملات المشفرة. النوافذ المودالية هي عناصر واجهة مستخدم شائعة الاستخدام في التطبيقات المحمولة، وعادة ما تظهر في الجزء العلوي من الواجهة الرئيسية، وتستخدم لعمليات سريعة مثل الموافقة على المعاملات.
في الظروف العادية، ستظهر نافذة وضع Web3.0 للمحفظة المعلومات اللازمة عن طلب المعاملة، بالإضافة إلى أزرار الموافقة أو الرفض. ومع ذلك، يمكن للمهاجمين التلاعب بهذه العناصر في واجهة المستخدم، مما يجعل المعاملات الخبيثة تبدو كطلبات شرعية.
أساليب الهجوم
وجد الباحثون نوعين رئيسيين من أساليب الهجوم:
استخدام بروتوكول Wallet Connect لصيد DApp
من خلال التلاعب بمعلومات العقد الذكي لإجراء الاحتيال
بروتوكول Wallet Connect الاحتيالي
Wallet Connect هو بروتوكول مفتوح المصدر شائع يستخدم لربط المحفظة الخاصة بالمستخدم مع DApp. خلال عملية الاقتران، ستظهر المحفظة اسم و عنوان و رمز DApp. ومع ذلك، فإن هذه المعلومات مقدمة من DApp، ولا تتحقق المحفظة من صحتها.
يمكن للمهاجمين تزوير هذه المعلومات، متظاهرين بأنهم DApp معروف مثل Uniswap، لخداع المستخدمين في ربط المحفظة والموافقة على معاملات ضارة.
معلومات صيد السمك بالعقود الذكية
على سبيل المثال، عند استخدام MetaMask، ستظهر أسماء طرق العقد الذكي في واجهة الموافقة على المعاملات. يمكن للمهاجمين تسجيل طرق عقد ذكي تحمل أسماء مضللة، مثل "SecurityUpdate"، مما يجعل المعاملة تبدو وكأنها طلب تحديث أمان من المحفظة نفسها.
نصائح للوقاية
يجب على مطوري المحفظة:
افترض أن جميع البيانات الخارجية غير موثوقة
التحقق بعناية من المعلومات المعروضة للمستخدم
تصفية الكلمات الرئيسية التي قد تُستخدم في الصيد
يجب على المستخدم:
كن حذرًا من كل طلب تداول غير معروف
تحقق بعناية من تفاصيل المعاملة، ولا تثق بالمعلومات المعروضة في نافذة النموذج
قبل الموافقة على أي صفقة، تأكد من مصداقية DApp
الخاتمة
تكشف هجمات التصيد الاحتيالي النمطية عن الثغرات المحتملة في تصميم واجهة المستخدم والتحقق من البيانات في محافظ Web3.0. مع استمرار تطور أساليب الهجوم هذه، يحتاج مطورو المحافظ إلى تعزيز تدابير الأمان، ويجب على المستخدمين أيضًا أن يكونوا يقظين للحفاظ على أمان نظام Web3 البيئي.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 21
أعجبني
21
5
مشاركة
تعليق
0/400
WalletWhisperer
· 07-30 03:49
أصبحت أقل جرأة في التوقيع بشكل عشوائي!
شاهد النسخة الأصليةرد0
OfflineNewbie
· 07-27 15:26
هيا نذهب معًا لزراعة حمقى
شاهد النسخة الأصليةرد0
HalfIsEmpty
· 07-27 15:26
叒 هو نوع جديد من تضليل 烦死
شاهد النسخة الأصليةرد0
SerLiquidated
· 07-27 15:17
لا تستطيع اللعب وتم خداع الناس لتحقيق الربح؟ كارثة!
Web3.0 المحفظة المحمولة تتعرض لهجوم تصيد جديد من نوع النوافذ المنبثقة، يجب على المستخدمين توخي الحذر
تحذير أمان المحفظة المحمولة Web3.0: هجوم تصيد عبر نافذة نموذجية
مؤخراً، اكتشف الباحثون في الأمن تقنية جديدة للاحتيال تستهدف المحفظة المحمولة في Web3.0، تُعرف باسم "هجوم الصيد النمطي". تعتمد هذه التقنية على استغلال النوافذ النمطية في تطبيقات المحفظة المحمولة، من خلال عرض معلومات مضللة لإغراء المستخدمين بالموافقة على معاملات خبيثة.
ما هو هجوم الصيد الاحتيالي النموذجي؟
تستهدف هجمات التصيد الاحتيالي المودالي بشكل رئيسي النوافذ المودالية في تطبيقات محافظ العملات المشفرة. النوافذ المودالية هي عناصر واجهة مستخدم شائعة الاستخدام في التطبيقات المحمولة، وعادة ما تظهر في الجزء العلوي من الواجهة الرئيسية، وتستخدم لعمليات سريعة مثل الموافقة على المعاملات.
في الظروف العادية، ستظهر نافذة وضع Web3.0 للمحفظة المعلومات اللازمة عن طلب المعاملة، بالإضافة إلى أزرار الموافقة أو الرفض. ومع ذلك، يمكن للمهاجمين التلاعب بهذه العناصر في واجهة المستخدم، مما يجعل المعاملات الخبيثة تبدو كطلبات شرعية.
أساليب الهجوم
وجد الباحثون نوعين رئيسيين من أساليب الهجوم:
بروتوكول Wallet Connect الاحتيالي
Wallet Connect هو بروتوكول مفتوح المصدر شائع يستخدم لربط المحفظة الخاصة بالمستخدم مع DApp. خلال عملية الاقتران، ستظهر المحفظة اسم و عنوان و رمز DApp. ومع ذلك، فإن هذه المعلومات مقدمة من DApp، ولا تتحقق المحفظة من صحتها.
يمكن للمهاجمين تزوير هذه المعلومات، متظاهرين بأنهم DApp معروف مثل Uniswap، لخداع المستخدمين في ربط المحفظة والموافقة على معاملات ضارة.
معلومات صيد السمك بالعقود الذكية
على سبيل المثال، عند استخدام MetaMask، ستظهر أسماء طرق العقد الذكي في واجهة الموافقة على المعاملات. يمكن للمهاجمين تسجيل طرق عقد ذكي تحمل أسماء مضللة، مثل "SecurityUpdate"، مما يجعل المعاملة تبدو وكأنها طلب تحديث أمان من المحفظة نفسها.
نصائح للوقاية
الخاتمة
تكشف هجمات التصيد الاحتيالي النمطية عن الثغرات المحتملة في تصميم واجهة المستخدم والتحقق من البيانات في محافظ Web3.0. مع استمرار تطور أساليب الهجوم هذه، يحتاج مطورو المحافظ إلى تعزيز تدابير الأمان، ويجب على المستخدمين أيضًا أن يكونوا يقظين للحفاظ على أمان نظام Web3 البيئي.