Веб 3.0 мобільний гаманець нові типи загроз безпеці: модальна фішинг-атака
Нещодавно дослідники з безпеки виявили новий тип фішингової атаки, спрямованої на мобільні гаманці Веб 3.0, який називається "модальна фішинг-атака"(Modal Phishing). Цей метод атаки в основному використовує модальні вікна в мобільних гаманцях, щоб ввести користувача в оману, спонукаючи його схвалити шкідливі транзакції.
Принципи модального фішингу
Атаки типу модального фішингу в основному націлені на елементи інтерфейсу модальних вікон, що часто використовуються в додатках криптогаманців. Зловмисники можуть маніпулювати деякою інформацією в цих вікнах, щоб вона виглядала так, ніби вона з легітимного децентралізованого застосунку (DApp), таким чином обманюючи користувачів, щоб ті схвалили шкідливу угоду.
Цей метод атаки є ефективним, оскільки багато гаманець додатків не змогли належним чином перевірити правдивість інформації, що відображається користувачеві. Наприклад:
Використання вразливості протоколу Wallet Connect: зловмисник може контролювати назву, іконку та іншу інформацію DApp, маскуючись під відоме застосування.
Маніпуляція інформацією про смарт-контракти: деякі Гаманець можуть відображати назви функцій смарт-контрактів, зловмисники можуть реєструвати оманливі назви функцій, щоб збити з пантелику користувачів.
Типові сценарії атак
1. Фішинг за протоколом Wallet Connect
Wallet Connect є широко використовуваним протоколом для підключення гаманців користувачів та DApp. Але цей протокол наразі не перевіряє достовірність інформації, наданої DApp. Зловмисники можуть скористатися цим, видаючи себе за відомі DApp (, такі як Uniswap ), щоб спонукати користувачів схвалювати шкідливі транзакції.
2. Інформація про фішинг смарт-контрактів
Наприклад, у MetaMask інтерфейс затвердження транзакцій відображає назву функції смарт-контракту. Зловмисник може зареєструвати функцію з оманливим ім'ям (, наприклад "SecurityUpdate", щоб транзакція виглядала як безпечне оновлення, спонукаючи користувача до затвердження.
![Розкриття нової схеми шахрайства з мобільним Гаманець Веб 3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
Рекомендації щодо запобігання
Розробник гаманець:
Завжди слід вважати зовнішні дані ненадійними
Уважно перевірити та відфільтрувати інформацію, що відображається користувачам
Вжити заходів для фільтрації можливих ключових слів, що можуть бути використані для фішингу
![Розкриття нової схеми шахрайства з мобільним гаманець Веб 3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
Користувач:
Будьте обережні з кожним невідомим запитом на транзакцію
Уважно перевірте деталі транзакції, не довіряйте інформації, що відображається на екрані.
Використовуйте апаратний гаманець та інші додаткові заходи безпеки
![Розкриття нової схеми шахрайства з мобільними гаманцями Веб 3.0: атакою модального фішингу Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
Розробники протоколу:
Протоколи, такі як Wallet Connect, повинні враховувати можливість додавання механізму верифікації інформації DApp.
![Розкриття нових шахрайств з мобільними Гаманець у Веб 3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
Модальні фішингові атаки підкреслюють важливість безпеки інтерфейсу користувача в екосистемі Веб 3.0. З розвитком таких атак вся галузь повинна постійно підвищувати обізнаність і вдосконалювати механізми безпеки для захисту активів користувачів.
![Розкриття нової схеми шахрайства з мобільними Гаманець Web3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
![Розкриття нового типу шахрайства з мобільним гаманець Web3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Модальне фішинг: аналіз нових загроз безпеці Гаманця Web3 та запобігання
Веб 3.0 мобільний гаманець нові типи загроз безпеці: модальна фішинг-атака
Нещодавно дослідники з безпеки виявили новий тип фішингової атаки, спрямованої на мобільні гаманці Веб 3.0, який називається "модальна фішинг-атака"(Modal Phishing). Цей метод атаки в основному використовує модальні вікна в мобільних гаманцях, щоб ввести користувача в оману, спонукаючи його схвалити шкідливі транзакції.
Принципи модального фішингу
Атаки типу модального фішингу в основному націлені на елементи інтерфейсу модальних вікон, що часто використовуються в додатках криптогаманців. Зловмисники можуть маніпулювати деякою інформацією в цих вікнах, щоб вона виглядала так, ніби вона з легітимного децентралізованого застосунку (DApp), таким чином обманюючи користувачів, щоб ті схвалили шкідливу угоду.
Цей метод атаки є ефективним, оскільки багато гаманець додатків не змогли належним чином перевірити правдивість інформації, що відображається користувачеві. Наприклад:
Використання вразливості протоколу Wallet Connect: зловмисник може контролювати назву, іконку та іншу інформацію DApp, маскуючись під відоме застосування.
Маніпуляція інформацією про смарт-контракти: деякі Гаманець можуть відображати назви функцій смарт-контрактів, зловмисники можуть реєструвати оманливі назви функцій, щоб збити з пантелику користувачів.
Типові сценарії атак
1. Фішинг за протоколом Wallet Connect
Wallet Connect є широко використовуваним протоколом для підключення гаманців користувачів та DApp. Але цей протокол наразі не перевіряє достовірність інформації, наданої DApp. Зловмисники можуть скористатися цим, видаючи себе за відомі DApp (, такі як Uniswap ), щоб спонукати користувачів схвалювати шкідливі транзакції.
2. Інформація про фішинг смарт-контрактів
Наприклад, у MetaMask інтерфейс затвердження транзакцій відображає назву функції смарт-контракту. Зловмисник може зареєструвати функцію з оманливим ім'ям (, наприклад "SecurityUpdate", щоб транзакція виглядала як безпечне оновлення, спонукаючи користувача до затвердження.
![Розкриття нової схеми шахрайства з мобільним Гаманець Веб 3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
Рекомендації щодо запобігання
![Розкриття нової схеми шахрайства з мобільним гаманець Веб 3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
![Розкриття нової схеми шахрайства з мобільними гаманцями Веб 3.0: атакою модального фішингу Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
![Розкриття нових шахрайств з мобільними Гаманець у Веб 3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
Модальні фішингові атаки підкреслюють важливість безпеки інтерфейсу користувача в екосистемі Веб 3.0. З розвитком таких атак вся галузь повинна постійно підвищувати обізнаність і вдосконалювати механізми безпеки для захисту активів користувачів.
![Розкриття нової схеми шахрайства з мобільними Гаманець Web3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
![Розкриття нового типу шахрайства з мобільним гаманець Web3.0: модальне фішинг-атака Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(