Ataque de phishing em carteira móvel Web3.0: phishing em janelas modais

Recentemente, uma nova técnica de phishing tem chamado a atenção no campo do Web3.0. Esta técnica é especificamente direcionada à conexão de identidade das aplicações descentralizadas (DApp), enganando as vítimas por meio de métodos fraudulentos. Nomeamos isso de "ataque de phishing de janela modal".

Os atacantes utilizam a janela modal da carteira móvel para mostrar informações falsas aos usuários, disfarçando-se como DApps legítimos, induzindo os usuários a aprovarem transações. Esta técnica de phishing está a espalhar-se amplamente. Os desenvolvedores de componentes relevantes confirmaram que lançarão uma nova API de validação para reduzir riscos.

Princípio do ataque de phishing por janela modal

Na pesquisa sobre a segurança das carteiras móveis, descobrimos que certos elementos da interface do usuário das carteiras de criptomoeda Web3.0 podem ser controlados por atacantes para implementar ataques de phishing. É chamado de phishing em janela modal porque os ataques visam principalmente a janela modal da carteira de criptomoeda.

As janelas modais são elementos de UI comuns em aplicações móveis, normalmente exibidas na parte superior da janela principal, para operações rápidas, como aprovar ou rejeitar pedidos de transação. O design típico da janela modal de uma carteira Web3.0 inclui detalhes da transação e botões de operação.

No entanto, esses elementos de interface do utilizador podem ser manipulados por atacantes. Os atacantes conseguem alterar os detalhes da transação, disfarçando o pedido de transação como uma atualização importante de uma fonte confiável, induzindo o utilizador a aprovar.

Dois casos típicos de ataque

1. Phishing de DApp através do Wallet Connect

Wallet Connect é um protocolo de código aberto amplamente utilizado para conectar carteiras de usuários a DApps. Durante o processo de emparelhamento, a carteira Web3.0 exibirá uma janela modal que mostra o nome, o URL, o ícone e outras informações do DApp. No entanto, essas informações são fornecidas pelo DApp, e a carteira não verifica a sua autenticidade.

Os atacantes podem se passar por DApps conhecidos, induzindo os usuários a se conectarem e aprovarem transações. Por exemplo, os atacantes podem se disfarçar de Uniswap, exibindo nomes, URLs e ícones semelhantes, fazendo com que a janela modal pareça muito real.

Embora haja diferenças no design modal de diferentes Carteiras, os atacantes ainda conseguem controlar essas metainformações.

2. Phishing de informações de contratos inteligentes através do MetaMask

Na janela modal de aprovação de transação do MetaMask, além das informações do DApp, também será exibido o tipo de transação. Esta informação é obtida através da leitura dos bytes de assinatura do contrato inteligente e da consulta ao registro de métodos na blockchain.

Os atacantes podem criar contratos inteligentes de phishing, registrando nomes de método como "SecurityUpdate" e outras strings enganosas. Quando o MetaMask analisa este contrato, exibirá esse nome ao usuário na modalidade de aprovação, fazendo com que a transação pareça uma atualização de segurança importante.

Sugestões de prevenção

1. Os desenvolvedores de Carteira devem assumir que todos os dados externos não são confiáveis, escolher cuidadosamente as informações a serem apresentadas aos usuários e verificar sua legalidade.

2. Os protocolos como Wallet Connect devem validar antecipadamente a validade e legalidade das informações do DApp.

3. A aplicação da Carteira deve monitorizar e filtrar palavras que possam ser utilizadas em ataques de phishing.

4. Os usuários devem manter-se alerta para cada solicitação de transação desconhecida e não confiar facilmente nas informações exibidas na janela modal.

Em suma, os ataques de phishing em janelas modais lembram-nos que os problemas de segurança no ecossistema Web3.0 ainda precisam de atenção e melhorias contínuas. Tanto os desenvolvedores quanto os usuários devem estar atentos e trabalhar juntos para manter a segurança do ambiente Web3.0.