Web3.0المحفظة الجديدة لتضليل: هجوم الصيد النمطي

مؤخراً، اكتشفنا تقنية جديدة للتصيد الاحتيالي يمكن استخدامها لتضليل الضحايا في ربط هويتهم بتطبيقات لامركزية (DApp). أطلقنا على هذه التقنية الجديدة للتصيد الاحتيالي اسم "هجوم التصيد الاحتيالي النمطي" (Modal Phishing).

المهاجمون يتظاهرون بـ DApp شرعي عن طريق إرسال معلومات زائفة مزورة إلى المحفظة المحمولة، وعرض معلومات مضللة في نافذة الوضع في المحفظة المحمولة، لخداع الضحايا للموافقة على الصفقة. هذه التقنية من التصيد الاحتيالي تُستخدم على نطاق واسع. وقد أكد مطورو المكونات ذات الصلة أنهم سيصدرون واجهة برمجة تطبيقات تحقق جديدة لتقليل هذه المخاطر.

ما هو هجوم الصيد عن طريق الوضع؟

في دراسة أمن المحفظة المحمولة، لاحظنا أن بعض عناصر واجهة المستخدم (UI) لمحفظة العملات المشفرة Web3.0 يمكن أن تتحكم فيها المهاجمون لاستخدامها في هجمات التصيد. لقد أطلقنا على هذه التقنية اسم تصيد النوافذ المودالية، لأن المهاجمين يستهدفون بشكل رئيسي نوافذ المحفظة المشفرة المودالية لشن هجمات التصيد.

النمط (أو نافذة النمط) هو عنصر واجهة مستخدم شائع الاستخدام في تطبيقات الهاتف المحمول، وعادة ما يظهر في الجزء العلوي من نافذة التطبيق الرئيسية. غالبًا ما يُستخدم هذا التصميم لتسهيل على المستخدمين تنفيذ العمليات السريعة، مثل الموافقة/الرفض على طلبات معاملات العملات المشفرة في المحفظة Web3.0.

تصميم نمط محفظة العملات المشفرة Web3.0 النموذجي يوفر عادة معلومات ضرورية لتمكين المستخدم من التحقق من التوقيعات وغيرها من الطلبات، بالإضافة إلى أزرار للموافقة أو الرفض.

عندما يتم تهيئة طلب تداول جديد بواسطة DApp المتصل، ستظهر المحفظة نافذة نموذجية جديدة تطلب من المستخدم تأكيدًا يدويًا. عادةً ما تحتوي النافذة النموذجية على هوية الطلب، مثل عنوان الموقع، الأيقونة، إلخ. بعض المحافظ مثل Metamask ستظهر أيضًا معلومات رئيسية حول الطلب.

ومع ذلك، يمكن السيطرة على هذه العناصر واجهة المستخدم من قبل المهاجمين لإجراء هجمات تصيد احتيالي. يمكن للمهاجمين تغيير تفاصيل المعاملة وتزييف طلب المعاملة كطلب "تحديث أمان" من "Metamask"، مما يشجع المستخدمين على الموافقة.

الحالات النموذجية

الحالة 1: هجوم تصيد عبر Wallet Connect على DApp

بروتوكول Wallet Connect هو بروتوكول مفتوح المصدر يحظى بشعبية واسعة، يُستخدم لربط محفظة المستخدم مع DApp عبر رمز الاستجابة السريعة أو الروابط العميقة. خلال عملية الاقتران بين محفظة العملات المشفرة وDApp في Web3.0، ستعرض المحفظة نافذة نموذجية تُظهر معلومات الميتا الخاصة بطلب الاقتران الوارد، بما في ذلك اسم DApp، عنوان الموقع، الأيقونة، والوصف.

ومع ذلك، فإن هذه المعلومات مقدمة من قبل DApp، والمحفظة لا تتحقق من مدى صحة المعلومات المقدمة. في هجمات التصيد، يمكن للمهاجمين انتحال صفة DApp الشرعي، لخداع المستخدمين للاتصال بهم.

يمكن للمهاجمين الادعاء بأنهم تطبيق Uniswap DApp، والاتصال بمحفظة Metamask، لخداع المستخدمين للموافقة على المعاملات الواردة. أثناء عملية الاقتران، تظهر نافذة الوضع في المحفظة معلومات تبدو قانونية عن Uniswap DApp. يمكن للمهاجمين استبدال معلمات طلب المعاملة (مثل عنوان الوجهة ومبلغ المعاملة) لسرقة أموال الضحية.

الحالة 2: الاحتيال عبر شبكة المعلومات لعقود الذكية باستخدام المحفظة MetaMask

في نموذج الموافقة على Metamask، هناك عنصر واجهة مستخدم يعرض نوع المعاملة. يقوم Metamask بقراءة بايتات توقيع العقد الذكي، ويستخدم استعلام سجل الطرق على السلسلة للبحث عن اسم الطريقة المقابل. ومع ذلك، سيؤدي ذلك أيضًا إلى إنشاء عنصر واجهة مستخدم آخر يمكن أن يتحكم فيه المهاجم.

يمكن للمهاجم إنشاء عقد ذكي مزيف يحتوي على دالة تحمل اسم "SecurityUpdate" وتتمتع بوظيفة الدفع، مما يسمح للضحايا بنقل الأموال إلى هذا العقد الذكي. كما يمكن للمهاجم استخدام SignatureReg لتسجيل توقيع الطريقة كسلسلة قابلة للقراءة البشرية "SecurityUpdate".

من خلال دمج هذه العناصر القابلة للتحكم في واجهة المستخدم، يمكن للمهاجمين إنشاء طلب "SecurityUpdate" يبدو وكأنه جاء من "Metamask"، ساعيًا للحصول على موافقة المستخدم.

نصائح للوقاية

1. يجب على مطوري تطبيقات المحفظة دائمًا افتراض أن البيانات الواردة من الخارج غير موثوقة.
2. يجب على المطورين اختيار المعلومات التي سيتم عرضها للمستخدمين بعناية والتحقق من شرعية هذه المعلومات.
3. يجب على المستخدمين أن يكونوا حذرين تجاه كل طلب معاملة غير معروف وأن يتعاملوا بحذر مع جميع طلبات المعاملات.
4. يمكن اعتبار بروتوكول Wallet Connect التحقق المسبق من صحة وشرعية معلومات DApp.
5. يجب على تطبيق المحفظة مراقبة المحتوى المعروض على المستخدمين واتخاذ تدابير وقائية لتصفية الكلمات التي قد تُستخدم في هجمات التصيد.

بشكل عام، السبب الجذري لهجمات الصيد بالوسائط هو أن تطبيقات المحفظة لم تتحقق بدقة من شرعية عناصر واجهة المستخدم المعروضة. يجب على المستخدمين والمطورين أن يكونوا في حالة تأهب، والعمل معًا للحفاظ على أمان نظام Web3.0 البيئي.