مخاطر أمان المحفظة المتنقلة Web3: شرح مفصل لهجمات صياد النمط

مؤخراً، تم اكتشاف تقنية جديدة للصيد الاحتيالي تستهدف محافظ Web3 المحمولة، حيث تستغل هذه الهجمة النوافذ النموذجية داخل تطبيقات المحفظة لخداع المستخدمين. أطلقنا على هذه التقنية الجديدة للصيد الاحتيالي اسم "هجوم الصيد الاحتيالي النموذجي"(Modal Phishing).

في هذا الهجوم، يمكن للقراصنة إرسال معلومات مزيفة إلى المحفظة المحمولة، مقلدين تطبيقات اللامركزية الشرعية (DApp)، وإغراء المستخدمين بالموافقة على المعاملات من خلال عرض معلومات مضللة في نافذة وضع المحفظة. يتم استخدام هذه التقنية على نطاق واسع، وقد أكد المطورون المعنيون أنهم سيصدرون واجهة برمجة تطبيقات تحقق جديدة لتقليل المخاطر.

ما هو هجوم الصيد عن طريق النماذج؟

تستهدف هجمات تصيد النوافذ المنبثقة بشكل أساسي النوافذ المنبثقة للمحفظة المشفرة. ( أو نافذة ) هي عناصر واجهة مستخدم شائعة الاستخدام في التطبيقات المحمولة، وعادة ما تظهر في أعلى نافذة التطبيق الرئيسية، لتسهيل تنفيذ المستخدم للعمليات السريعة، مثل الموافقة/الرفض على طلبات معاملات محفظة Web3.

تصميم نافذة نموذج المحفظة التقليدية في Web3 عادة ما يوفر تفاصيل المعاملة لتمكين المستخدم من التحقق، بالإضافة إلى أزرار للموافقة أو الرفض. ومع ذلك، يمكن أن تتحكم العناصر التفاعلية في واجهة المستخدم من قبل المهاجمين، لاستخدامها في هجمات التصيد.

حالتان نموذجيتان لهجمات التصيد الاحتيالي

1. هجوم تصيد DApp عبر المحفظة Connect

Wallet Connect هو بروتوكول مفتوح المصدر شائع، يُستخدم لربط محفظة المستخدم بـ DApp عبر رمز الاستجابة السريعة أو رابط عميق. أثناء عملية الاقتران، سيعرض محفظة Web3 نافذة نموذجية، تُظهر معلومات التعريف الخاصة بطلب الاقتران الوارد، بما في ذلك اسم DApp، وعنوانه، ورمزه، ووصفه.

ومع ذلك، فإن هذه المعلومات مقدمة من DApp، والمحفظة لا تتحقق من صحتها. يمكن للمهاجمين تزوير هذه المعلومات وانتحال شخصية DApp شرعي. على سبيل المثال، يمكن للمهاجمين الادعاء بأنهم Uniswap، وربط محفظة المستخدم، لخداع المستخدمين للموافقة على الصفقة.

2. من خلال معلومات العقد الذكي للقيام بالتصيد

بعض تطبيقات المحفظة قد تعرض أسماء طرق العقود الذكية في نافذة وضع الموافقة على الصفقة. قد يتم السيطرة على هذا العنصر واجهة المستخدم من قبل المهاجمين.

على سبيل المثال، يمكن للمهاجم إنشاء عقد ذكي للتصيد يحتوي على دالة دفع تُدعى "SecurityUpdate". عندما تقوم المحفظة بتحليل هذا العقد، ستظهر للمستخدم عبارة "Security Update" في وضع الموافقة، مما يجعل المعاملة تبدو أكثر مصداقية.

نصائح للوقاية

1. يجب على مطوري تطبيقات المحفظة أن يفترضوا دائمًا أن البيانات الواردة من الخارج غير موثوقة، وأن يختاروا بعناية المعلومات التي يعرضونها للمستخدمين، والتحقق من شرعية هذه المعلومات.

2. يجب على المستخدم أن يكون حذرًا بشأن كل طلب تداول غير معروف، وألا يثق بسهولة بالمعلومات المعروضة في نافذة النموذج.

3. بروتوكول اتصال DApp ( مثل المحفظة Connect ) يجب أن يأخذ في الاعتبار التحقق المسبق من صحة وشرعية معلومات DApp.

4. يجب على تطبيق المحفظة مراقبة وتصفيه الكلمات التي قد تُستخدم في هجمات التصيد.

بشكل عام، تستغل هجمات صيد السمك النمطي الثغرات الناتجة عن عدم قدرة تطبيقات المحفظة على التحقق بشكل كامل من شرعية عناصر واجهة المستخدم المعروضة. إن زيادة الوعي بهذه الأنواع من الهجمات وتعزيز آليات التحقق أمر بالغ الأهمية لحماية أصول مستخدمي Web3.