هجوم التصيد الجديد على المحفظة المحمولة Web3.0: تصيد نافذة النمط

مؤخراً، أثارت تقنية جديدة للصيد الاحتيالي اهتماماً في مجال Web3.0. تستهدف هذه التقنية بشكل خاص مرحلة الاتصال الهوياتي للتطبيقات اللامركزية (DApp)، من خلال أساليب خادعة لتضليل الضحايا. لقد أطلقنا عليها اسم "هجوم الصيد الاحتيالي من خلال نافذة الوضع".

يستغل المهاجمون نافذة الوضع في المحفظة المحمولة لعرض معلومات مزيفة للمستخدم، متظاهرين بأنهم DApp شرعي، مما يحث المستخدم على الموافقة على الصفقة. يتم انتشار هذه التقنية في الصيد على نطاق واسع. وقد أكد مطورو المكونات ذات الصلة أنهم سيطلقون واجهة برمجة تطبيقات تحقق جديدة لتقليل المخاطر.

مبدأ هجوم الاصطياد من نافذة الوضع

في دراسة حول أمان المحفظة المتنقلة، اكتشفنا أن بعض عناصر واجهة المستخدم لمحفظة Web3.0 المشفرة يمكن أن يتحكم بها المهاجمون لاستخدامها في تنفيذ هجمات التصيد. ويطلق على ذلك اسم هجمات التصيد من خلال النوافذ النموذجية، لأن الهجمات تستهدف بشكل أساسي النوافذ النموذجية للمحفظة المشفرة.

نافذة الوضع هي عنصر واجهة مستخدم شائع في تطبيقات الهاتف المحمول، وعادة ما تظهر في الجزء العلوي من النافذة الرئيسية، وتستخدم لإجراء العمليات السريعة مثل الموافقة أو رفض طلبات المعاملات. تصميم نافذة الوضع لمحفظة Web3.0 النموذجية يتضمن تفاصيل المعاملة وأزرار العمليات.

ومع ذلك، قد يتم التلاعب بهذه العناصر في واجهة المستخدم من قبل المهاجمين. يمكن للمهاجمين تغيير تفاصيل المعاملة وتزييف طلبات المعاملات على أنها تحديثات مهمة من مصادر موثوقة، مما يحفز المستخدمين على الموافقة.

حالتين نموذجيتين للهجمات

1. الصيد في DApp من خلال المحفظة Connect

Wallet Connect هو بروتوكول مفتوح المصدر شائع يستخدم لربط محافظ المستخدمين مع DApp. خلال عملية الاقتران، سيظهر محفظة Web3.0 نافذة نموذجية تعرض اسم DApp، وعنوانه، ورمزه، وغيرها من المعلومات. ومع ذلك، يتم تقديم هذه المعلومات من قبل DApp، ولا تتحقق المحفظة من صحتها.

يمكن للمهاجمين انتحال شخصية DApp معروف، مما يغرر المستخدمين للاتصال والموافقة على المعاملات. على سبيل المثال، يمكن للمهاجمين التظاهر بأنهم Uniswap، وعرض أسماء، وعناوين مواقع، وأيقونات مشابهة، مما يجعل نافذة المودال تبدو حقيقية جداً.

على الرغم من اختلاف تصميمات الأنماط لمحافظ مختلفة، إلا أن المهاجمين لا يزال بإمكانهم السيطرة على هذه المعلومات الوصفية.

2. التصيد المعلوماتي لعقود الذكية عبر MetaMask

في نافذة نموذج الموافقة على المعاملة في MetaMask، بالإضافة إلى معلومات DApp، سيتم عرض نوع المعاملة أيضًا. يتم الحصول على هذه المعلومات من خلال قراءة بايت التوقيع لعقد ذكي، واستعلام سجل الطرق على السلسلة.

يمكن للمهاجمين إنشاء عقود ذكية تصيدية، وتسجيل أسماء الطرق كسلاسل مضللة مثل "SecurityUpdate". عندما تقوم MetaMask بتحليل هذا العقد، ستظهر هذا الاسم للمستخدم في نموذج الموافقة، مما يجعل المعاملة تبدو كأنها تحديث أمان مهم.

نصائح للوقاية

1. يجب على مطوري المحفظة أن يفترضوا أن جميع البيانات الخارجية غير موثوقة، وأن يختاروا بعناية المعلومات التي تعرض للمستخدم، والتحقق من صحتها.

2. يجب على بروتوكولات مثل Wallet Connect التحقق مسبقًا من صحة وشرعية معلومات DApp.

3. يجب على تطبيق المحفظة مراقبة وتصنيف الكلمات التي قد تستخدم في هجمات التصيد.

4. يجب على المستخدم أن يكون حذرًا من كل طلب تداول غير معروف، وألا يثق بسهولة في المعلومات المعروضة في نافذة النموذج.

بشكل عام، تذكرنا هجمات التصيد عبر نوافذ النماذج بأن مشاكل الأمان في نظام Web3.0 البيئي لا تزال بحاجة إلى متابعة وتحسين مستمر. يجب على المطورين والمستخدمين أن يكونوا يقظين وأن يعملوا معًا للحفاظ على أمان بيئة Web3.0.