Web3.0 Ví tiền mới các mối đe dọa an ninh: Tấn công lừa đảo qua cửa sổ kiểu mô hình

Gần đây, các nhà nghiên cứu an ninh đã phát hiện ra một loại hình thức lừa đảo mới nhằm vào Ví tiền di động Web3.0, được gọi là "tấn công lừa đảo theo mô hình". Loại tấn công này chủ yếu lợi dụng cửa sổ mô hình trong ứng dụng Ví tiền di động để đánh lừa người dùng, từ đó dụ dỗ họ phê duyệt các giao dịch độc hại.

Nguyên lý của tấn công lừa đảo mô hình

Các cuộc tấn công lừa đảo theo dạng mô-đun chủ yếu nhắm vào các yếu tố giao diện người dùng trong ví tiền tiền điện tử Web3.0, đặc biệt là các cửa sổ mô-đun. Kẻ tấn công có thể thao túng thông tin được hiển thị trong các cửa sổ này để khiến nó trông giống như đến từ các ứng dụng phi tập trung hợp pháp (DApp), từ đó lừa đảo người dùng phê duyệt giao dịch.

Cách tấn công này hiệu quả vì nhiều ứng dụng Ví tiền không xác minh đầy đủ tính hợp pháp của thông tin được trình bày. Ví dụ, một số Ví tiền trực tiếp tin tưởng vào siêu dữ liệu từ SDK bên ngoài mà không thực hiện xác minh bổ sung.

Ví dụ về tấn công

1. Lừa đảo qua giao thức Wallet Connect: Kẻ tấn công có thể kiểm soát tên, biểu tượng và địa chỉ trang web của DApp, làm cho trang web lừa đảo trông giống như một DApp hợp pháp. Khi người dùng kết nối ví thông qua Wallet Connect, những thông tin giả mạo này sẽ hiển thị trong cửa sổ mô-đun của ví.

2. Thông tin lừa đảo hợp đồng thông minh: Một số Ví tiền (như MetaMask) sẽ hiển thị tên hàm của hợp đồng thông minh trong cửa sổ modal. Kẻ tấn công có thể tạo ra các hợp đồng độc hại với tên gọi gây hiểu lầm, chẳng hạn như đặt tên hàm chuyển tiền là "SecurityUpdate", để lừa đảo người dùng phê duyệt giao dịch.

Đề xuất phòng ngừa

1. Ví tiền phát triển:
   • Luôn coi dữ liệu bên ngoài được truyền vào là không đáng tin cậy.
   • Chọn lọc cẩn thận thông tin hiển thị cho người dùng và xác minh tính hợp pháp của nó.
   • Cân nhắc lọc các từ khóa có thể được sử dụng cho các cuộc tấn công lừa đảo.

2. Người dùng:
   • Giữ cảnh giác đối với mọi yêu cầu giao dịch không rõ.
   • Kiểm tra kỹ chi tiết giao dịch, đừng chỉ dựa vào thông tin hiển thị trong cửa sổ mô-đun để phê duyệt giao dịch.
   • Sử dụng kênh chính thức để tải xuống và cập nhật Ví tiền.

3. Nhà phát triển giao thức:
   • Cân nhắc việc thêm cơ chế xác thực ở cấp độ giao thức, chẳng hạn như Wallet Connect có thể xác thực trước thông tin DApp.

Với sự phát triển của công nghệ Web3.0, các mối đe dọa an ninh mới cũng đang không ngừng tiến hóa. Người dùng và các nhà phát triển cần nâng cao nhận thức về an ninh, cùng nhau duy trì sự an toàn của hệ sinh thái Web3.0.