Web3移動錢包新型騙局:模態釣魚攻擊詳解與防範

Web3.0移動錢包新型騙局揭祕:模態釣魚攻擊

近期,我們發現了一種新型的網絡釣魚技術,可用於誤導受害者在連接去中心化應用(DApp)身分方面。我們將這種新型網絡釣魚技術命名爲"模態釣魚攻擊"(Modal Phishing)。

攻擊者通過向移動錢包發送僞造的虛假信息來冒充合法DApp,並在移動錢包的模態窗口中顯示誤導性信息,誘騙受害者批準交易。這種網絡釣魚技術正在廣泛使用。相關組件開發人員已確認將發布新的驗證API以降低該風險。

什麼是模態釣魚攻擊?

在對移動錢包的安全研究中,我們注意到Web3.0加密貨幣錢包的某些用戶界面(UI)元素可被攻擊者控制用來進行網絡釣魚攻擊。我們將這種釣魚技術命名爲模態釣魚,因爲攻擊者主要針對加密錢包的模態窗口進行釣魚攻擊。

模態(或模態窗口)是移動應用程序中常用的UI元素,通常顯示在應用程序主窗口頂部。這種設計通常用於方便用戶執行快速操作,如批準/拒絕Web3.0加密貨幣錢包的交易請求。

典型的Web3.0加密貨幣錢包模態設計通常提供必要信息供用戶檢查籤名等請求,以及批準或拒絕請求的按鈕。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

當新的交易請求被連接的DApp初始化時,錢包會展示一個新的模態窗口,要求用戶進行人工確認。模態窗口通常包含請求者的身分,如網站地址、圖標等。一些錢包如Metamask也會顯示有關請求的關鍵信息。

然而,這些用戶界面元素可被攻擊者控制以進行模態釣魚攻擊。攻擊者可以更改交易細節,將交易請求僞裝成來自"Metamask"的"Security Update"請求,誘使用戶批準。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

典型案例

案例1:通過Wallet Connect進行DApp釣魚攻擊

Wallet Connect協議是一個廣受歡迎的開源協議,用於通過二維碼或深度連結將用戶的錢包與DApp連接。在Web3.0加密貨幣錢包和DApp之間的配對過程中,錢包會展示一個模態窗口,顯示傳入配對請求的元信息,包括DApp的名稱、網站地址、圖標和描述。

然而,這些信息是由DApp提供的,錢包並不驗證其所提供信息是否合法真實。在網絡釣魚攻擊中,攻擊者可以假冒合法DApp,誘騙用戶與其連接。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

攻擊者可以聲稱自己是Uniswap DApp,並連接Metamask錢包,以此欺騙用戶批準傳入的交易。在配對過程中,錢包內顯示的模態窗口呈現了看似合法的Uniswap DApp信息。攻擊者可以替換交易請求參數(如目的地地址和交易金額)來竊取受害者的資金。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

案例2:通過MetaMask進行智能合約信息網絡釣魚

在Metamask批準模態中,有一個顯示交易類型的UI元素。Metamask會讀取智能合約的籤名字節,並使用鏈上方法註冊表查詢相應的方法名稱。然而,這也會在模態上創建另一個可被攻擊者控制的UI元素。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

攻擊者可以建立一個釣魚智能合約,其中包含一個名爲"SecurityUpdate"的具備支付功能的函數,並允許受害者將資金轉入該智能合約。攻擊者還可以使用SignatureReg將方法籤名註冊爲人類可讀的字符串"SecurityUpdate"。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

結合這些可控的UI元素,攻擊者可以創建一個看似來自"Metamask"的"SecurityUpdate"請求,尋求用戶的批準。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

防範建議

  1. 錢包應用程序開發者應該始終假設外部傳入的數據是不可信的。
  2. 開發者應該仔細選擇向用戶展示哪些信息,並驗證這些信息的合法性。
  3. 用戶應對每個未知的交易請求保持警惕,謹慎對待所有交易請求。
  4. Wallet Connect協議可以考慮提前驗證DApp信息的有效性和合法性。
  5. 錢包應用應監測呈現給用戶的內容,並採取預防措施過濾掉可能被用於網絡釣魚攻擊的詞語。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

總之,模態釣魚攻擊的根本原因是錢包應用程序沒有徹底驗證所呈現的UI元素的合法性。用戶和開發者都應提高警惕,共同維護Web3.0生態系統的安全。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 讚賞
  • 5
  • 分享
留言
0/400
喝茶看盘侠vip
· 07-08 16:18
币圈韭菜刚被骗 钱全没了 真惨
回復0
gas_fee_traumavip
· 07-08 16:15
真有人还能被钓鱼骗啊,眼睛不要钱啊
回復0
RektButSmilingvip
· 07-08 16:15
还是老一套 这玩意儿防不胜防啊
回復0
GasWaster69vip
· 07-08 16:01
又要注意新骗术了 要小心啊兄弟们
回復0
GateUser-c799715cvip
· 07-08 15:57
黑客的脑子都不长霉的
回復0
交易,隨時隨地
qrCode
掃碼下載 Gate APP
社群列表
繁體中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)