Web3.0 Mobil Cüzdan Güvenlik Uyarısı: Modal Pencere Phishing Saldırısı
Son zamanlarda, güvenlik araştırmacıları Web3.0 mobil cüzdanlarına yönelik yeni bir kimlik avı tekniği keşfettiler ve buna "mod yönetimli kimlik avı saldırısı" deniliyor. Bu saldırı yöntemi, mobil cüzdan uygulamalarındaki mod pencerelerini kullanarak yanıltıcı bilgiler göstererek kullanıcıları kötü niyetli işlemleri onaylamaya ikna etmeyi amaçlamaktadır.
Modül Balıkçılığı Saldırısı Nedir?
Modal phishing saldırıları, kripto para cüzdan uygulamalarındaki modal pencerelere yöneliktir. Modal pencereler, mobil uygulamalarda yaygın olarak kullanılan UI öğeleridir ve genellikle ana arayüzün üst kısmında, işlem onaylama gibi hızlı işlemler için görüntülenir.
Normal şartlar altında, Web3.0 Cüzdanının modül penceresi, işlem talebinin gerekli bilgilerini ve onay veya reddetme butonlarını gösterecektir. Ancak, saldırganlar bu UI öğelerini manipüle ederek kötü niyetli işlemleri meşru talepler gibi gösterebilirler.
Saldırı Yöntemleri
Araştırmacılar iki ana saldırı yöntemi buldu:
Wallet Connect protokolünü kullanarak DApp oltalama
Akıllı sözleşme bilgilerinin manipülasyonu ile oltalama
Cüzdan Connect protokolü oltalama
Cüzdan Connect, kullanıcı cüzdanlarını DApp ile bağlamak için popüler bir açık kaynak protokolüdür. Eşleştirme sürecinde, cüzdan DApp'in adı, web sitesi ve simgesi gibi bilgileri gösterir. Ancak, bu bilgiler DApp tarafından sağlanır ve cüzdan bunların doğruluğunu doğrulamaz.
Saldırganlar bu bilgileri taklit ederek Uniswap gibi tanınmış DApp'leri taklit edebilir, kullanıcıları cüzdanlarını bağlamaya ve kötü niyetli işlemleri onaylamaya kandırabilir.
Akıllı Sözleşme Bilgisi Phishing
MetaMask'ı örnek alarak, işlem onay ekranında akıllı sözleşmenin yöntem adını gösterir. Saldırganlar, işlemin cüzdanın kendisinden gelen bir güvenlik güncelleme isteği gibi görünmesini sağlamak için "SecurityUpdate" gibi yanıltıcı adlar taşıyan akıllı sözleşme yöntemlerini kaydedebilir.
Oltalama için kullanılabilecek anahtar kelimeleri filtrele
Kullanıcı şunları yapmalıdır:
Her bilinmeyen işlem isteğine dikkat edin
İşlem detaylarını dikkatlice kontrol edin, modal pencerede gösterilen bilgilere kolayca inanmayın.
Herhangi bir işlemi onaylamadan önce, DApp'in doğruluğunu onaylayın.
Sonuç
Modüler oltalama saldırıları, Web3.0 cüzdanlarının kullanıcı arayüzü tasarımı ve veri doğrulama konusundaki potansiyel açıklarını ortaya koymaktadır. Bu tür saldırı yöntemlerinin sürekli evrimi ile cüzdan geliştiricileri güvenlik önlemlerini güçlendirmeli, kullanıcılar da dikkatlerini artırarak Web3 ekosisteminin güvenliğini birlikte korumalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
21 Likes
Reward
21
5
Share
Comment
0/400
WalletWhisperer
· 07-30 03:49
Artık rastgele imza atmaya cesaret edemiyorum!
View OriginalReply0
OfflineNewbie
· 07-27 15:26
Hadi, birlikte enayi tarlasına gidelim.
View OriginalReply0
HalfIsEmpty
· 07-27 15:26
叒 yeni bir oltalama eyewash. Sıkıldım.
View OriginalReply0
SerLiquidated
· 07-27 15:17
Oynayamayıp bir de insanları enayi yerine koymak mı? Yazık!
Web3.0 mobil Cüzdan yeni bir modal pencere phishing saldırısına maruz kaldı, kullanıcıların dikkatli olması gerekiyor.
Web3.0 Mobil Cüzdan Güvenlik Uyarısı: Modal Pencere Phishing Saldırısı
Son zamanlarda, güvenlik araştırmacıları Web3.0 mobil cüzdanlarına yönelik yeni bir kimlik avı tekniği keşfettiler ve buna "mod yönetimli kimlik avı saldırısı" deniliyor. Bu saldırı yöntemi, mobil cüzdan uygulamalarındaki mod pencerelerini kullanarak yanıltıcı bilgiler göstererek kullanıcıları kötü niyetli işlemleri onaylamaya ikna etmeyi amaçlamaktadır.
Modül Balıkçılığı Saldırısı Nedir?
Modal phishing saldırıları, kripto para cüzdan uygulamalarındaki modal pencerelere yöneliktir. Modal pencereler, mobil uygulamalarda yaygın olarak kullanılan UI öğeleridir ve genellikle ana arayüzün üst kısmında, işlem onaylama gibi hızlı işlemler için görüntülenir.
Normal şartlar altında, Web3.0 Cüzdanının modül penceresi, işlem talebinin gerekli bilgilerini ve onay veya reddetme butonlarını gösterecektir. Ancak, saldırganlar bu UI öğelerini manipüle ederek kötü niyetli işlemleri meşru talepler gibi gösterebilirler.
Saldırı Yöntemleri
Araştırmacılar iki ana saldırı yöntemi buldu:
Cüzdan Connect protokolü oltalama
Cüzdan Connect, kullanıcı cüzdanlarını DApp ile bağlamak için popüler bir açık kaynak protokolüdür. Eşleştirme sürecinde, cüzdan DApp'in adı, web sitesi ve simgesi gibi bilgileri gösterir. Ancak, bu bilgiler DApp tarafından sağlanır ve cüzdan bunların doğruluğunu doğrulamaz.
Saldırganlar bu bilgileri taklit ederek Uniswap gibi tanınmış DApp'leri taklit edebilir, kullanıcıları cüzdanlarını bağlamaya ve kötü niyetli işlemleri onaylamaya kandırabilir.
Akıllı Sözleşme Bilgisi Phishing
MetaMask'ı örnek alarak, işlem onay ekranında akıllı sözleşmenin yöntem adını gösterir. Saldırganlar, işlemin cüzdanın kendisinden gelen bir güvenlik güncelleme isteği gibi görünmesini sağlamak için "SecurityUpdate" gibi yanıltıcı adlar taşıyan akıllı sözleşme yöntemlerini kaydedebilir.
Önleme Önerileri
Sonuç
Modüler oltalama saldırıları, Web3.0 cüzdanlarının kullanıcı arayüzü tasarımı ve veri doğrulama konusundaki potansiyel açıklarını ortaya koymaktadır. Bu tür saldırı yöntemlerinin sürekli evrimi ile cüzdan geliştiricileri güvenlik önlemlerini güçlendirmeli, kullanıcılar da dikkatlerini artırarak Web3 ekosisteminin güvenliğini birlikte korumalıdır.