Risques de sécurité des portefeuilles mobiles Web3 : explication des attaques de phishing modales

Récemment, une nouvelle technique de phishing ciblant les portefeuilles mobiles Web3 a été découverte. Cette attaque utilise principalement des fenêtres modales dans les applications de portefeuille pour induire les utilisateurs en erreur. Nous avons nommé cette nouvelle technique de phishing "attaque de phishing modal" ( Modal Phishing ).

Dans ce type d'attaque, des hackers peuvent envoyer de fausses informations à un portefeuille mobile, en se faisant passer pour une application décentralisée légitime (DApp), et en trompant les utilisateurs pour qu'ils approuvent des transactions en affichant des informations trompeuses dans la fenêtre modale du portefeuille. Cette technique est largement utilisée, et les développeurs concernés ont confirmé qu'ils publieront une nouvelle API de validation pour réduire les risques.

Qu'est-ce qu'une attaque de phishing modal ?

Les attaques de phishing modales ciblent principalement les fenêtres modales des portefeuilles cryptographiques. La modalité ( ou la fenêtre modale ) est un élément d'interface utilisateur couramment utilisé dans les applications mobiles, généralement affiché en haut de la fenêtre principale de l'application, afin de faciliter les opérations rapides des utilisateurs, telles que l'approbation ou le refus des demandes de transaction du portefeuille Web3.

Le design typique d'une fenêtre modale de portefeuille Web3 offre généralement des détails de transaction pour que les utilisateurs puissent les vérifier, ainsi que des boutons pour approuver ou refuser. Cependant, ces éléments d'interface utilisateur peuvent être contrôlés par des attaquants pour effectuer des attaques de phishing.

Deux cas typiques d'attaques de phishing modal

1. Attaque de phishing DApp via Wallet Connect

Wallet Connect est un protocole open source populaire, utilisé pour connecter le portefeuille de l'utilisateur aux DApps via un code QR ou un lien profond. Pendant le processus de couplage, le portefeuille Web3 affichera une fenêtre modale, présentant les métadonnées de la demande de couplage entrante, y compris le nom du DApp, l'URL, l'icône et la description.

Cependant, ces informations sont fournies par le DApp, et le portefeuille ne vérifie pas leur authenticité. Un attaquant peut falsifier ces informations et se faire passer pour un DApp légitime. Par exemple, un attaquant peut prétendre être Uniswap et connecter le portefeuille de l'utilisateur, incitant l'utilisateur à approuver une transaction.

2. Phishing via des informations de contrat intelligent

Certaines applications de portefeuille affichent le nom de la méthode du contrat intelligent dans la fenêtre de modal d'approbation de la transaction. Cet élément de l'interface utilisateur peut également être contrôlé par un attaquant.

Par exemple, un attaquant peut créer un contrat intelligent de phishing contenant une fonction de paiement nommée "SecurityUpdate". Lorsque le portefeuille analyse ce contrat, il affichera le terme "Security Update" dans la modalité d'approbation à l'utilisateur, rendant la transaction plus crédible.

Conseils de prévention

1. Les développeurs d'applications de portefeuille doivent toujours supposer que les données entrantes externes ne sont pas fiables, choisir avec soin quelles informations afficher aux utilisateurs et vérifier la légitimité de ces informations.

2. Les utilisateurs doivent rester vigilants face à chaque demande de transaction inconnue et ne pas faire confiance facilement aux informations affichées dans la fenêtre modale.

3. Le protocole de connexion DApp ( comme Wallet Connect ) doit prendre en compte la vérification préalable de la validité et de la légalité des informations DApp.

4. L'application de portefeuille doit surveiller et filtrer les mots qui pourraient être utilisés pour des attaques de phishing.

En somme, les attaques de phishing modal exploitent la faille des applications de portefeuille qui ne vérifient pas complètement la légitimité des éléments d'interface utilisateur présentés. Accroître la sensibilisation à ce type d'attaque et renforcer les mécanismes de validation est crucial pour protéger la sécurité des actifs des utilisateurs de Web3.