Risiko Keamanan Dompet Seluler Web3: Penjelasan Serangan Phishing Modus

Baru-baru ini, sebuah teknik phishing baru yang menargetkan dompet seluler Web3 ditemukan, serangan ini terutama memanfaatkan jendela modal dalam aplikasi dompet untuk menyesatkan pengguna. Kami menamai teknik phishing baru ini sebagai "serangan phishing modal"(Modal Phishing).

Dalam serangan ini, peretas dapat mengirimkan informasi palsu ke dompet mobile, menyamar sebagai aplikasi terdesentralisasi yang sah (DApp), dan menipu pengguna untuk menyetujui transaksi dengan menampilkan informasi yang menyesatkan di jendela modal dompet. Teknik ini sedang digunakan secara luas, dan pengembang terkait telah mengonfirmasi bahwa mereka akan merilis API verifikasi baru untuk mengurangi risiko.

Apa itu serangan phishing modal?

Serangan phishing modal terutama menargetkan jendela modal dompet kripto. Modal ( atau jendela modal ) adalah elemen UI yang umum digunakan dalam aplikasi seluler, biasanya ditampilkan di bagian atas jendela utama aplikasi, untuk memudahkan pengguna melakukan tindakan cepat, seperti menyetujui/menolak permintaan transaksi dompet Web3.

Desain jendela modal dompet Web3 yang khas biasanya menyediakan rincian transaksi untuk diperiksa pengguna, serta tombol untuk menyetujui atau menolak. Namun, elemen UI ini dapat dikendalikan oleh penyerang untuk melakukan serangan phishing.

Dua Kasus Klasik Serangan Phishing Modal

1. Serangan phishing DApp melalui Wallet Connect

Dompet Connect adalah protokol sumber terbuka yang populer, digunakan untuk menghubungkan dompet pengguna dengan DApp melalui kode QR atau tautan dalam. Selama proses pem配对, dompet Web3 akan menampilkan jendela modal yang menunjukkan meta informasi dari permintaan pem配对 yang masuk, termasuk nama DApp, alamat situs web, ikon, dan deskripsi.

Namun, informasi ini disediakan oleh DApp, dan Dompet tidak memverifikasi kebenarannya. Penyerang dapat memalsukan informasi ini, berpura-pura menjadi DApp yang sah. Misalnya, penyerang dapat mengklaim bahwa mereka adalah Uniswap, dan menghubungkan Dompet pengguna, menipu pengguna untuk menyetujui transaksi.

2. Melalui informasi kontrak pintar untuk phishing

Beberapa aplikasi dompet akan menampilkan nama metode kontrak pintar dalam jendela modal persetujuan transaksi. Elemen UI ini juga mungkin dikendalikan oleh penyerang.

Misalnya, penyerang dapat membuat kontrak pintar phishing yang berisi fungsi pembayaran bernama "SecurityUpdate". Ketika dompet menganalisis kontrak ini, ia akan menampilkan kata "Security Update" kepada pengguna dalam modal persetujuan, membuat transaksi terlihat lebih tepercaya.

Saran Pencegahan

1. Pengembang aplikasi Dompet harus selalu mengasumsikan bahwa data yang masuk dari luar tidak dapat dipercaya, dengan hati-hati memilih informasi apa yang akan ditampilkan kepada pengguna, dan memverifikasi keabsahan informasi tersebut.

2. Pengguna harus waspada terhadap setiap permintaan transaksi yang tidak dikenal, dan tidak mudah percaya pada informasi yang ditampilkan di jendela modal.

3. Protokol koneksi DApp ( seperti Wallet Connect ) harus mempertimbangkan untuk memverifikasi kevalidan dan legalitas informasi DApp sebelumnya.

4. Aplikasi dompet harus memantau dan menyaring kata-kata yang mungkin digunakan untuk serangan phishing.

Singkatnya, serangan phishing modal memanfaatkan celah di aplikasi dompet yang gagal memverifikasi keabsahan elemen UI yang ditampilkan. Meningkatkan kesadaran terhadap jenis serangan ini dan memperkuat mekanisme verifikasi sangat penting untuk melindungi keamanan aset pengguna Web3.