# Web3モバイルウォレットのセキュリティリスク: モーダルフィッシング攻撃の詳細最近、Web3モバイルウォレットを対象とした新しいフィッシング技術が発見されました。この攻撃は主にウォレットアプリのモーダルウィンドウを利用してユーザーを誤導します。この新しいフィッシング技術を「モーダルフィッシング攻撃」と命名しました(Modal Phishing)。この攻撃では、ハッカーがモバイルウォレットに偽の情報を送信し、合法的な分散型アプリ(DApp)を装って、ウォレットのモーダルウィンドウに誤解を招く情報を表示することで、ユーザーに取引を承認させるよう誘導します。この技術は広く使用されており、関連する開発者はリスクを低減するために新しい検証APIを発表することを確認しています。## モーダルフィッシング攻撃とは?モーダルフィッシング攻撃は、暗号ウォレットのモーダルウィンドウに主に対処します。モーダル(またはモーダルウィンドウ)は、モバイルアプリケーションで一般的に使用されるUI要素で、通常アプリのメインウィンドウの上部に表示され、ユーザーがWeb3ウォレットの取引要求を承認/拒否するなどの迅速な操作を行うのを便利にします。典型的Web3ウォレットモーダルウィンドウデザインは通常、ユーザーが確認するための取引の詳細と、承認または拒否のボタンを提供します。しかし、これらのUI要素は攻撃者によって制御され、フィッシング攻撃に使用される可能性があります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## モーダルフィッシング攻撃の2つの典型的なケース### 1. ウォレットを使ったDAppフィッシング攻撃ウォレットコネクトは、QRコードまたはディープリンクを介してユーザーのウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中に、Web3ウォレットはモーダルウィンドウを表示し、DAppの名前、URL、アイコン、説明を含む受信したペアリングリクエストのメタ情報を示します。しかし、これらの情報はDAppによって提供されており、ウォレットはその真偽を検証しません。攻撃者はこれらの情報を偽造し、正当なDAppを装うことができます。例えば、攻撃者は自分がUniswapであると主張し、ユーザーのウォレットを接続させ、ユーザーに取引を承認させるよう誘惑することができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)### 2. スマートコントラクト情報を通じてフィッシングを行う特定のウォレットアプリは、取引承認モーダルウィンドウにスマートコントラクトのメソッド名を表示します。このUI要素は攻撃者によって制御される可能性もあります。例えば、攻撃者は「SecurityUpdate」という支払い関数を含むフィッシングスマートコントラクトを作成することができます。ウォレットがこのコントラクトを解析すると、承認モーダルに「Security Update」という文字がユーザーに表示され、取引がより信頼できるように見えます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)## 予防に関する推奨事項1. ウォレットアプリ開発者は常に外部から受信したデータが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その情報の合法性を検証する必要があります。2. ユーザーは未知の取引リクエストに対して警戒を保ち、モーダルウィンドウに表示される情報を簡単には信じないようにするべきです。3. DApp接続プロトコル(はWallet Connect)のように、DApp情報の有効性と合法性を事前に確認することを考慮する必要があります。4. ウォレットアプリは、フィッシング攻撃に使用される可能性のある言葉を監視し、フィルタリングする必要があります。要するに、モーダルフィッシング攻撃は、ウォレットアプリケーションが提示されたUI要素の合法性を徹底的に検証できていない脆弱性を利用しています。この種の攻撃に対する認識を高め、検証メカニズムを強化することは、Web3ユーザーの資産の安全を守るために非常に重要です。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)
Web3モバイルウォレットの新しい脅威: モーダルフィッシング攻撃の詳細と防止策
Web3モバイルウォレットのセキュリティリスク: モーダルフィッシング攻撃の詳細
最近、Web3モバイルウォレットを対象とした新しいフィッシング技術が発見されました。この攻撃は主にウォレットアプリのモーダルウィンドウを利用してユーザーを誤導します。この新しいフィッシング技術を「モーダルフィッシング攻撃」と命名しました(Modal Phishing)。
この攻撃では、ハッカーがモバイルウォレットに偽の情報を送信し、合法的な分散型アプリ(DApp)を装って、ウォレットのモーダルウィンドウに誤解を招く情報を表示することで、ユーザーに取引を承認させるよう誘導します。この技術は広く使用されており、関連する開発者はリスクを低減するために新しい検証APIを発表することを確認しています。
モーダルフィッシング攻撃とは?
モーダルフィッシング攻撃は、暗号ウォレットのモーダルウィンドウに主に対処します。モーダル(またはモーダルウィンドウ)は、モバイルアプリケーションで一般的に使用されるUI要素で、通常アプリのメインウィンドウの上部に表示され、ユーザーがWeb3ウォレットの取引要求を承認/拒否するなどの迅速な操作を行うのを便利にします。
典型的Web3ウォレットモーダルウィンドウデザインは通常、ユーザーが確認するための取引の詳細と、承認または拒否のボタンを提供します。しかし、これらのUI要素は攻撃者によって制御され、フィッシング攻撃に使用される可能性があります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
モーダルフィッシング攻撃の2つの典型的なケース
1. ウォレットを使ったDAppフィッシング攻撃
ウォレットコネクトは、QRコードまたはディープリンクを介してユーザーのウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中に、Web3ウォレットはモーダルウィンドウを表示し、DAppの名前、URL、アイコン、説明を含む受信したペアリングリクエストのメタ情報を示します。
しかし、これらの情報はDAppによって提供されており、ウォレットはその真偽を検証しません。攻撃者はこれらの情報を偽造し、正当なDAppを装うことができます。例えば、攻撃者は自分がUniswapであると主張し、ユーザーのウォレットを接続させ、ユーザーに取引を承認させるよう誘惑することができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
2. スマートコントラクト情報を通じてフィッシングを行う
特定のウォレットアプリは、取引承認モーダルウィンドウにスマートコントラクトのメソッド名を表示します。このUI要素は攻撃者によって制御される可能性もあります。
例えば、攻撃者は「SecurityUpdate」という支払い関数を含むフィッシングスマートコントラクトを作成することができます。ウォレットがこのコントラクトを解析すると、承認モーダルに「Security Update」という文字がユーザーに表示され、取引がより信頼できるように見えます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
予防に関する推奨事項
ウォレットアプリ開発者は常に外部から受信したデータが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その情報の合法性を検証する必要があります。
ユーザーは未知の取引リクエストに対して警戒を保ち、モーダルウィンドウに表示される情報を簡単には信じないようにするべきです。
DApp接続プロトコル(はWallet Connect)のように、DApp情報の有効性と合法性を事前に確認することを考慮する必要があります。
ウォレットアプリは、フィッシング攻撃に使用される可能性のある言葉を監視し、フィルタリングする必要があります。
要するに、モーダルフィッシング攻撃は、ウォレットアプリケーションが提示されたUI要素の合法性を徹底的に検証できていない脆弱性を利用しています。この種の攻撃に対する認識を高め、検証メカニズムを強化することは、Web3ユーザーの資産の安全を守るために非常に重要です。
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング