Web3.0 Portefeuille mobile nouveau type d'eyewash : attaque de phishing modale

Récemment, nous avons découvert une nouvelle technique de phishing pouvant tromper les victimes lors de la connexion à des applications décentralisées (DApp). Nous avons nommé cette nouvelle technique de phishing "attaque de phishing modal" (Modal Phishing).

Les attaquants se font passer pour des DApp légitimes en envoyant de fausses informations falsifiées aux portefeuilles mobiles et en affichant des informations trompeuses dans la fenêtre modale du portefeuille mobile, incitant ainsi les victimes à approuver des transactions. Cette technique de phishing est largement utilisée. Les développeurs des composants concernés ont confirmé qu'ils publieront une nouvelle API de vérification pour réduire ce risque.

Qu'est-ce qu'une attaque de phishing modal ?

Dans notre recherche sur la sécurité des portefeuilles mobiles, nous avons remarqué que certains éléments de l'interface utilisateur (UI) des portefeuilles de cryptomonnaie Web3.0 peuvent être contrôlés par des attaquants pour mener des attaques de phishing. Nous avons nommé cette technique de phishing "phishing modal", car les attaquants ciblent principalement les fenêtres modales des portefeuilles de cryptomonnaie pour effectuer des attaques de phishing.

Une modalité (ou fenêtre modale) est un élément d'interface utilisateur couramment utilisé dans les applications mobiles, qui s'affiche généralement en haut de la fenêtre principale de l'application. Ce type de conception est souvent utilisé pour faciliter aux utilisateurs l'exécution d'actions rapides, telles que l'approbation ou le refus des demandes de transaction de portefeuille de cryptomonnaie Web3.0.

Le design modal typique des portefeuilles de cryptomonnaie Web3.0 fournit généralement les informations nécessaires pour que les utilisateurs vérifient des signatures et autres demandes, ainsi que des boutons pour approuver ou refuser les demandes.

Lorsque une nouvelle demande de transaction est initialisée par une DApp connectée, le Portefeuille affichera une nouvelle fenêtre modale, demandant à l'utilisateur de confirmer manuellement. La fenêtre modale contient généralement l'identité du demandeur, comme l'adresse du site web, l'icône, etc. Certains Portefeuilles comme Metamask afficheront également des informations clés concernant la demande.

Cependant, ces éléments d'interface utilisateur peuvent être contrôlés par des attaquants pour mener des attaques de phishing modal. Les attaquants peuvent modifier les détails de la transaction et déguiser la demande de transaction en une demande de "Mise à jour de sécurité" provenant de "Metamask", incitant ainsi l'utilisateur à approuver.

Cas typiques

Cas 1 : Attaque de phishing DApp via Wallet Connect

Le protocole Wallet Connect est un protocole open source très populaire, utilisé pour connecter le portefeuille d'un utilisateur à une DApp via un code QR ou un lien profond. Dans le processus d'appariement entre le portefeuille de cryptomonnaie Web3.0 et la DApp, le portefeuille affiche une fenêtre modale montrant les métadonnées de la demande d'appariement entrante, y compris le nom de la DApp, l'adresse du site Web, l'icône et la description.

Cependant, ces informations sont fournies par le DApp, et le Portefeuille ne vérifie pas si les informations fournies sont légales et réelles. Lors d'attaques de phishing, l'attaquant peut se faire passer pour un DApp légitime et tromper les utilisateurs en les incitant à se connecter.

Les attaquants peuvent prétendre être une DApp Uniswap et se connecter au portefeuille Metamask pour tromper les utilisateurs en leur faisant approuver les transactions entrantes. Pendant le processus de jumelage, la fenêtre modale affichée dans le portefeuille présente des informations sur la DApp Uniswap qui semblent légitimes. Les attaquants peuvent remplacer les paramètres de la demande de transaction (comme l'adresse de destination et le montant de la transaction) pour voler les fonds des victimes.

Cas d'utilisation 2 : Phishing d'informations de contrat intelligent via MetaMask

Dans le modal d'approbation de Metamask, il y a un élément UI qui affiche le type de transaction. Metamask lit les octets de signature du contrat intelligent et utilise le registre des méthodes en chaîne pour interroger le nom de la méthode correspondante. Cependant, cela crée également un autre élément UI dans le modal qui peut être contrôlé par un attaquant.

Un attaquant peut créer un contrat intelligent de phishing contenant une fonction de paiement appelée "SecurityUpdate", permettant à la victime de transférer des fonds vers ce contrat intelligent. L'attaquant peut également utiliser SignatureReg pour enregistrer la signature de méthode en tant que chaîne de caractères lisible par l'homme "SecurityUpdate".

En combinant ces éléments d'interface utilisateur contrôlables, un attaquant peut créer une demande de "SecurityUpdate" semblant provenir de "Metamask", demandant l'approbation de l'utilisateur.

Conseils de prévention

1. Les développeurs d'applications de portefeuille devraient toujours supposer que les données entrantes externes ne sont pas fiables.
2. Les développeurs devraient choisir avec soin quelles informations afficher aux utilisateurs et vérifier la légitimité de ces informations.
3. L'utilisateur doit rester vigilant face à chaque demande de transaction inconnue et traiter toutes les demandes de transaction avec prudence.
4. Le protocole Wallet Connect peut envisager de vérifier à l'avance la validité et la légalité des informations de DApp.
5. L'application Portefeuille doit surveiller le contenu présenté aux utilisateurs et prendre des mesures préventives pour filtrer les mots pouvant être utilisés pour des attaques de phishing.

En résumé, la cause fondamentale des attaques de phishing modal est que les applications de portefeuille ne vérifient pas de manière approfondie la légitimité des éléments d'interface utilisateur présentés. Les utilisateurs et les développeurs doivent rester vigilants et travailler ensemble pour maintenir la sécurité de l'écosystème Web3.0.