Веб 3.0 мобільний гаманець нові безпекові загрози: фішинг-атаки через модальні вікна
Нещодавно дослідники з безпеки виявили нову техніку фішингу, спрямовану на мобільні гаманці Web3.0, відому як "модальний фішинг-атак". Ця атака в основному використовує модальні вікна в додатках мобільних гаманців для введення користувачів в оману, що спонукає їх схвалити шкідливі транзакції.
Принципи модального фішингу
Модальні фішинг-атаки в основному націлені на елементи інтерфейсу користувача в криптовалютних гаманець Web3.0, особливо на модальні вікна. Зловмисники можуть маніпулювати інформацією, що відображається в цих вікнах, так що вона виглядає так, ніби походить від легітимних децентралізованих додатків (DApp), що дозволяє обманювати користувачів, щоб вони схвалили транзакцію.
Цей спосіб атаки є ефективним, оскільки багато гаманець додатків не змогли належним чином перевірити законність наданої інформації. Наприклад, деякі гаманці прямо довіряють метаданим з зовнішніх SDK без додаткової перевірки.
Приклад атаки
Фішинг через протокол Wallet Connect:
Зловмисники можуть контролювати такі дані, як назва DApp, його іконка та адреса сайту, щоб фішингові сайти виглядали як легітимні DApp. Коли користувач підключає гаманець через Wallet Connect, ця хибна інформація відображається у модальному вікні гаманця.
Фішинг інформації про смарт-контракти:
Деякі Гаманець (такі як MetaMask) відображають назви функцій смарт-контрактів у модальному вікні. Зловмисники можуть створювати шкідливі контракти з оманливими назвами, наприклад, називаючи функцію переказу "SecurityUpdate", щоб обманути користувачів, схвалюючи транзакцію.
Рекомендації щодо запобігання
Розробники гаманців:
Завжди вважайте зовнішні дані ненадійними.
Уважно вибирайте інформацію, що показується користувачам, та перевіряйте її легітимність.
Розгляньте можливість фільтрації ключових слів, які можуть бути використані для фішингових атак.
Користувач:
Будьте обережні з кожним невідомим запитом на交易.
Уважно перевірте деталі транзакції, не схвалюйте транзакцію лише на основі інформації, що відображається в модальному вікні.
Використовуйте офіційні канали для завантаження та оновлення Гаманець.
Розробники протоколів:
Розгляньте можливість додавання механізму верифікації на рівні протоколу, наприклад, Wallet Connect може заздалегідь перевіряти дійсність інформації DApp.
З розвитком технології Веб 3.0 ці нові типи безпекових загроз також постійно еволюціонують. Користувачі та розробники повинні підвищувати обізнаність про безпеку та спільно підтримувати безпеку екосистеми Веб 3.0.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
6 лайків
Нагородити
6
4
Поділіться
Прокоментувати
0/400
TerraNeverForget
· 8год тому
Обережно з гаманець твого тата
Переглянути оригіналвідповісти на0
MetaLord420
· 8год тому
Обережно, щоб інші не витягли з вас шерсть...
Переглянути оригіналвідповісти на0
GweiTooHigh
· 8год тому
Це жахливо, атакуючий використовує пастки одну за одною.
Переглянути оригіналвідповісти на0
YieldWhisperer
· 9год тому
ті ж самі фішингові атаки, нова обгортка... бачив цю ж саму схему в metamask у 2021. розробники ніколи не вчаться, смх
Веб 3.0 гаманець стикається з новою загрозою фішингових атак через модальні вікна
Веб 3.0 мобільний гаманець нові безпекові загрози: фішинг-атаки через модальні вікна
Нещодавно дослідники з безпеки виявили нову техніку фішингу, спрямовану на мобільні гаманці Web3.0, відому як "модальний фішинг-атак". Ця атака в основному використовує модальні вікна в додатках мобільних гаманців для введення користувачів в оману, що спонукає їх схвалити шкідливі транзакції.
Принципи модального фішингу
Модальні фішинг-атаки в основному націлені на елементи інтерфейсу користувача в криптовалютних гаманець Web3.0, особливо на модальні вікна. Зловмисники можуть маніпулювати інформацією, що відображається в цих вікнах, так що вона виглядає так, ніби походить від легітимних децентралізованих додатків (DApp), що дозволяє обманювати користувачів, щоб вони схвалили транзакцію.
Цей спосіб атаки є ефективним, оскільки багато гаманець додатків не змогли належним чином перевірити законність наданої інформації. Наприклад, деякі гаманці прямо довіряють метаданим з зовнішніх SDK без додаткової перевірки.
Приклад атаки
Рекомендації щодо запобігання
З розвитком технології Веб 3.0 ці нові типи безпекових загроз також постійно еволюціонують. Користувачі та розробники повинні підвищувати обізнаність про безпеку та спільно підтримувати безпеку екосистеми Веб 3.0.