Cảnh báo an ninh Ví tiền di động Web3.0: Tấn công lừa đảo bằng cửa sổ mô phỏng
Gần đây, các nhà nghiên cứu an ninh đã phát hiện ra một kỹ thuật lừa đảo mới nhằm vào Ví tiền di động Web3.0, được gọi là "tấn công lừa đảo mô hình". Kỹ thuật tấn công này chủ yếu lợi dụng cửa sổ mô hình trong ứng dụng ví tiền di động, bằng cách hiển thị thông tin gây hiểu lầm để dụ dỗ người dùng phê duyệt giao dịch độc hại.
Mô hình tấn công lừa đảo là gì?
Cuộc tấn công lừa đảo mô-đun chủ yếu nhắm vào các cửa sổ mô-đun trong ứng dụng ví tiền tiền điện tử. Cửa sổ mô-đun là một yếu tố UI thường được sử dụng trong ứng dụng di động, thường hiển thị ở phía trên cùng của giao diện chính, được sử dụng để thực hiện các thao tác nhanh như phê duyệt giao dịch.
Trong điều kiện bình thường, cửa sổ mô-đun của Ví tiền Web3.0 sẽ hiển thị thông tin cần thiết của yêu cầu giao dịch, cũng như nút phê duyệt hoặc từ chối. Tuy nhiên, kẻ tấn công có thể thao túng các yếu tố giao diện người dùng này, ngụy trang giao dịch độc hại thành yêu cầu hợp pháp.
Phương pháp tấn công
Các nhà nghiên cứu đã phát hiện ra hai phương thức tấn công chính:
Sử dụng giao thức Wallet Connect để lừa đảo DApp
Thực hiện lừa đảo thông qua việc thao túng thông tin hợp đồng thông minh
Ví tiền Connect协议钓鱼
Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví của người dùng với DApp. Trong quá trình ghép đôi, ví sẽ hiển thị tên, địa chỉ website và biểu tượng của DApp. Tuy nhiên, những thông tin này do DApp cung cấp, ví không xác thực tính chính xác của chúng.
Kẻ tấn công có thể giả mạo những thông tin này, mạo danh các DApp nổi tiếng như Uniswap, lừa người dùng kết nối Ví tiền và phê duyệt giao dịch độc hại.
Thông tin lừa đảo hợp đồng thông minh
Lấy MetaMask làm ví dụ, trong giao diện phê duyệt giao dịch sẽ hiển thị tên phương thức của hợp đồng thông minh. Kẻ tấn công có thể đăng ký các phương thức hợp đồng thông minh với tên gọi gây hiểu lầm, chẳng hạn như "SecurityUpdate", khiến giao dịch trông giống như là yêu cầu cập nhật bảo mật từ chính ví.
Đề xuất phòng ngừa
Ví tiền phát triển viên nên:
Giả sử tất cả dữ liệu bên ngoài đều không đáng tin cậy
Xác minh cẩn thận thông tin được hiển thị cho người dùng
Lọc các từ khóa có thể được sử dụng cho lừa đảo
Người dùng nên:
Giữ cảnh giác đối với mỗi yêu cầu giao dịch không xác định
Kiểm tra kỹ chi tiết giao dịch, đừng quá tin vào thông tin hiển thị trong cửa sổ modal
Trước khi phê duyệt bất kỳ giao dịch nào, hãy xác nhận tính xác thực của DApp
Kết luận
Các cuộc tấn công lừa đảo mô hình đã tiết lộ những lỗ hổng tiềm ẩn trong thiết kế giao diện người dùng và xác thực dữ liệu của Ví tiền Web3.0. Khi các phương pháp tấn công này tiếp tục phát triển, các nhà phát triển ví cần tăng cường các biện pháp an ninh, trong khi người dùng cũng nên nâng cao cảnh giác để cùng nhau bảo vệ an toàn cho hệ sinh thái Web3.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Ví tiền di động Web3.0遭遇新型模态窗口钓鱼攻击 用户需警惕
Cảnh báo an ninh Ví tiền di động Web3.0: Tấn công lừa đảo bằng cửa sổ mô phỏng
Gần đây, các nhà nghiên cứu an ninh đã phát hiện ra một kỹ thuật lừa đảo mới nhằm vào Ví tiền di động Web3.0, được gọi là "tấn công lừa đảo mô hình". Kỹ thuật tấn công này chủ yếu lợi dụng cửa sổ mô hình trong ứng dụng ví tiền di động, bằng cách hiển thị thông tin gây hiểu lầm để dụ dỗ người dùng phê duyệt giao dịch độc hại.
Mô hình tấn công lừa đảo là gì?
Cuộc tấn công lừa đảo mô-đun chủ yếu nhắm vào các cửa sổ mô-đun trong ứng dụng ví tiền tiền điện tử. Cửa sổ mô-đun là một yếu tố UI thường được sử dụng trong ứng dụng di động, thường hiển thị ở phía trên cùng của giao diện chính, được sử dụng để thực hiện các thao tác nhanh như phê duyệt giao dịch.
Trong điều kiện bình thường, cửa sổ mô-đun của Ví tiền Web3.0 sẽ hiển thị thông tin cần thiết của yêu cầu giao dịch, cũng như nút phê duyệt hoặc từ chối. Tuy nhiên, kẻ tấn công có thể thao túng các yếu tố giao diện người dùng này, ngụy trang giao dịch độc hại thành yêu cầu hợp pháp.
Phương pháp tấn công
Các nhà nghiên cứu đã phát hiện ra hai phương thức tấn công chính:
Ví tiền Connect协议钓鱼
Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví của người dùng với DApp. Trong quá trình ghép đôi, ví sẽ hiển thị tên, địa chỉ website và biểu tượng của DApp. Tuy nhiên, những thông tin này do DApp cung cấp, ví không xác thực tính chính xác của chúng.
Kẻ tấn công có thể giả mạo những thông tin này, mạo danh các DApp nổi tiếng như Uniswap, lừa người dùng kết nối Ví tiền và phê duyệt giao dịch độc hại.
Thông tin lừa đảo hợp đồng thông minh
Lấy MetaMask làm ví dụ, trong giao diện phê duyệt giao dịch sẽ hiển thị tên phương thức của hợp đồng thông minh. Kẻ tấn công có thể đăng ký các phương thức hợp đồng thông minh với tên gọi gây hiểu lầm, chẳng hạn như "SecurityUpdate", khiến giao dịch trông giống như là yêu cầu cập nhật bảo mật từ chính ví.
Đề xuất phòng ngừa
Kết luận
Các cuộc tấn công lừa đảo mô hình đã tiết lộ những lỗ hổng tiềm ẩn trong thiết kế giao diện người dùng và xác thực dữ liệu của Ví tiền Web3.0. Khi các phương pháp tấn công này tiếp tục phát triển, các nhà phát triển ví cần tăng cường các biện pháp an ninh, trong khi người dùng cũng nên nâng cao cảnh giác để cùng nhau bảo vệ an toàn cho hệ sinh thái Web3.