Веб 3.0 мобільний гаманець нові безпекові загрози: фішинг-атаки через модальні вікна

Нещодавно дослідники з безпеки виявили нову техніку фішингу, спрямовану на мобільні гаманці Web3.0, відому як "модальний фішинг-атак". Ця атака в основному використовує модальні вікна в додатках мобільних гаманців для введення користувачів в оману, що спонукає їх схвалити шкідливі транзакції.

Принципи модального фішингу

Модальні фішинг-атаки в основному націлені на елементи інтерфейсу користувача в криптовалютних гаманець Web3.0, особливо на модальні вікна. Зловмисники можуть маніпулювати інформацією, що відображається в цих вікнах, так що вона виглядає так, ніби походить від легітимних децентралізованих додатків (DApp), що дозволяє обманювати користувачів, щоб вони схвалили транзакцію.

Цей спосіб атаки є ефективним, оскільки багато гаманець додатків не змогли належним чином перевірити законність наданої інформації. Наприклад, деякі гаманці прямо довіряють метаданим з зовнішніх SDK без додаткової перевірки.

Приклад атаки

1. Фішинг через протокол Wallet Connect: Зловмисники можуть контролювати такі дані, як назва DApp, його іконка та адреса сайту, щоб фішингові сайти виглядали як легітимні DApp. Коли користувач підключає гаманець через Wallet Connect, ця хибна інформація відображається у модальному вікні гаманця.

2. Фішинг інформації про смарт-контракти: Деякі Гаманець (такі як MetaMask) відображають назви функцій смарт-контрактів у модальному вікні. Зловмисники можуть створювати шкідливі контракти з оманливими назвами, наприклад, називаючи функцію переказу "SecurityUpdate", щоб обманути користувачів, схвалюючи транзакцію.

Рекомендації щодо запобігання

1. Розробники гаманців:
   • Завжди вважайте зовнішні дані ненадійними.
   • Уважно вибирайте інформацію, що показується користувачам, та перевіряйте її легітимність.
   • Розгляньте можливість фільтрації ключових слів, які можуть бути використані для фішингових атак.

2. Користувач:
   • Будьте обережні з кожним невідомим запитом на交易.
   • Уважно перевірте деталі транзакції, не схвалюйте транзакцію лише на основі інформації, що відображається в модальному вікні.
   • Використовуйте офіційні канали для завантаження та оновлення Гаманець.

3. Розробники протоколів:
   • Розгляньте можливість додавання механізму верифікації на рівні протоколу, наприклад, Wallet Connect може заздалегідь перевіряти дійсність інформації DApp.

З розвитком технології Веб 3.0 ці нові типи безпекових загроз також постійно еволюціонують. Користувачі та розробники повинні підвищувати обізнаність про безпеку та спільно підтримувати безпеку екосистеми Веб 3.0.