Веб 3.0移动 гаманець безпеки попередження: атака фішингу в модальному вікні
Нещодавно дослідники безпеки виявили новий вид фішингової технології, спрямованої на мобільні гаманці Веб 3.0, що називається "модальним фішингом". Цей метод атаки в основному використовує модальні вікна в мобільному гаманці, демонструючи оманливу інформацію, щоб спонукати користувачів схвалити шкідливі транзакції.
Що таке модальні фішингові атаки?
Модальні фішингові атаки в основному націлені на модальні вікна в додатках для криптовалютних Гаманців. Модальні вікна є поширеними елементами інтерфейсу в мобільних додатках, які зазвичай відображаються у верхній частині головного екрану для швидких дій, таких як підтвердження транзакцій тощо.
У нормальних умовах модальне вікно гаманця Веб 3.0 відображає необхідну інформацію про запит на транзакцію, а також кнопки для схвалення або відхилення. Проте зловмисники можуть маніпулювати цими елементами інтерфейсу, маскуючи шкідливі транзакції під легітимні запити.
Методи атаки
Дослідники виявили два основні способи атаки:
Використання протоколу Wallet Connect для фішингу DApp
Фішинг шляхом маніпуляції інформацією смарт-контракту
Фішинг за допомогою протоколу Wallet Connect
Wallet Connect є популярним відкритим протоколом для підключення гаманців користувачів до DApp. Під час процесу спарювання гаманець відображає назву DApp, URL-адресу та інші дані, такі як значок. Проте ця інформація надається DApp, а гаманець не перевіряє її достовірність.
Зловмисники можуть підробити цю інформацію, видаючи себе за відомі DApp, такі як Uniswap, щоб спокусити користувачів підключити гаманець і схвалити шкідливі транзакції.
Інформація про фішинг смарт-контрактів
Наприклад, у MetaMask на екрані підтвердження транзакції буде відображено назву методу смарт-контракту. Зловмисник може зареєструвати метод смарт-контракту з оманливою назвою, такою як "SecurityUpdate", щоб транзакція виглядала як запит на оновлення безпеки від самого гаманця.
Фільтрувати ключові слова, які можуть бути використані для фішингу
Користувач повинен:
Будьте обережні з кожним невідомим запитом на транзакцію
Уважно перевірте деталі транзакції, не довіряйте інформації, що відображається у модальному вікні.
Перш ніж затвердити будь-яку угоду, підтверджуйте справжність DApp
Висновок
Атаки з модальним фішингом виявили потенційні вразливості у дизайні інтерфейсу користувача та перевірці даних у гаманцях Веб 3.0. З розвитком таких методів атак розробники гаманців повинні посилити заходи безпеки, а користувачі також повинні бути більш обережними, щоб спільно підтримувати безпеку екосистеми Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
4
Поділіться
Прокоментувати
0/400
OfflineNewbie
· 07-27 15:26
Йди, давай разом виростимо невдахи.
Переглянути оригіналвідповісти на0
HalfIsEmpty
· 07-27 15:26
叒 є новим типом замилювання очей, дістало до біса
Переглянути оригіналвідповісти на0
SerLiquidated
· 07-27 15:17
Грати не виходить, ще й обдурюють людей, як лохів? Жах!
Веб 3.0 мобільний гаманець зазнав нових атак фішингу за допомогою модальних вікон, користувачам слід бути обережними
Веб 3.0移动 гаманець безпеки попередження: атака фішингу в модальному вікні
Нещодавно дослідники безпеки виявили новий вид фішингової технології, спрямованої на мобільні гаманці Веб 3.0, що називається "модальним фішингом". Цей метод атаки в основному використовує модальні вікна в мобільному гаманці, демонструючи оманливу інформацію, щоб спонукати користувачів схвалити шкідливі транзакції.
Що таке модальні фішингові атаки?
Модальні фішингові атаки в основному націлені на модальні вікна в додатках для криптовалютних Гаманців. Модальні вікна є поширеними елементами інтерфейсу в мобільних додатках, які зазвичай відображаються у верхній частині головного екрану для швидких дій, таких як підтвердження транзакцій тощо.
У нормальних умовах модальне вікно гаманця Веб 3.0 відображає необхідну інформацію про запит на транзакцію, а також кнопки для схвалення або відхилення. Проте зловмисники можуть маніпулювати цими елементами інтерфейсу, маскуючи шкідливі транзакції під легітимні запити.
Методи атаки
Дослідники виявили два основні способи атаки:
Фішинг за допомогою протоколу Wallet Connect
Wallet Connect є популярним відкритим протоколом для підключення гаманців користувачів до DApp. Під час процесу спарювання гаманець відображає назву DApp, URL-адресу та інші дані, такі як значок. Проте ця інформація надається DApp, а гаманець не перевіряє її достовірність.
Зловмисники можуть підробити цю інформацію, видаючи себе за відомі DApp, такі як Uniswap, щоб спокусити користувачів підключити гаманець і схвалити шкідливі транзакції.
Інформація про фішинг смарт-контрактів
Наприклад, у MetaMask на екрані підтвердження транзакції буде відображено назву методу смарт-контракту. Зловмисник може зареєструвати метод смарт-контракту з оманливою назвою, такою як "SecurityUpdate", щоб транзакція виглядала як запит на оновлення безпеки від самого гаманця.
Рекомендації щодо запобігання
Висновок
Атаки з модальним фішингом виявили потенційні вразливості у дизайні інтерфейсу користувача та перевірці даних у гаманцях Веб 3.0. З розвитком таких методів атак розробники гаманців повинні посилити заходи безпеки, а користувачі також повинні бути більш обережними, щоб спільно підтримувати безпеку екосистеми Web3.