Безопасные риски Web3 мобильного Кошелька: Подробное объяснение модальных фишинговых атак

В последнее время была обнаружена новая технология фишинга, нацеленная на мобильные кошельки Web3. Эта атака в основном использует модальные окна в приложениях кошельков для введения пользователей в заблуждение. Мы назвали эту новую технологию фишинга "модальная фишинг-атака"(Modal Phishing).

В этой атаке хакеры могут отправлять поддельные сообщения в мобильный Кошелек, выдавая себя за законное децентрализованное приложение (DApp), и обманывать пользователей, подавая вводящую в заблуждение информацию в модальном окне Кошелька, чтобы заставить их одобрить транзакцию. Эта техника широко используется, и соответствующие разработчики подтвердили, что выпустят новый API проверки, чтобы снизить риски.

Что такое модальная рыбная атака?

Модальные фишинговые атаки в основном нацелены на модальные окна криптовалютного Кошелька. Модальное ( или модальное окно ) - это часто используемые элементы интерфейса в мобильных приложениях, которые обычно отображаются в верхней части главного окна приложения, чтобы облегчить пользователям выполнение быстрых действий, таких как одобрение/отклонение запросов на транзакции Web3.

Типичное окно модального дизайна Web3 кошелька обычно предоставляет детали транзакции для проверки пользователем, а также кнопки для одобрения или отказа. Однако эти элементы интерфейса могут контролироваться злоумышленниками для проведения фишинговых атак.

Два типичных примера модальных фишинговых атак

1. Фишинг-атака DApp через Кошелек Connect

Wallet Connect — это популярный открытый протокол, используемый для подключения пользовательского кошелька к DApp через QR-код или глубокую ссылку. В процессе сопряжения Web3 кошелек отображает модальное окно, показывающее метаинформацию входящего запроса на сопряжение, включая название DApp, веб-сайт, значок и описание.

Однако эта информация предоставляется DApp, и Кошелек не проверяет ее достоверность. Нападающие могут подделывать эту информацию, выдавая себя за законные DApp. Например, нападающий может заявить, что он Uniswap, и подключить кошелек пользователя, обманом заставив пользователя одобрить транзакцию.

2. Фишинг через информацию о смарт-контрактах

Некоторые приложения Кошелек могут отображать названия методов смарт-контракта в модальном окне подтверждения транзакции. Этот элемент пользовательского интерфейса также может контролироваться злоумышленниками.

Например, злоумышленник может создать фишинговый смарт-контракт, содержащий функцию платежа с именем "SecurityUpdate". Когда Кошелек разбирает этот контракт, он показывает пользователю надпись "Security Update" в модальном окне подтверждения, что делает транзакцию более надежной.

Рекомендации по предотвращению

1. Разработчики приложений Кошелек должны всегда предполагать, что входящие внешние данные недостоверны, тщательно выбирая, какую информацию показывать пользователю, и проверяя законность этой информации.

2. Пользователи должны быть осторожны с каждым неизвестным запросом на сделку и не доверять легко информации, отображаемой в модальном окне.

3. Протокол подключения DApp (, такой как Wallet Connect ), должен учитывать предварительную проверку действительности и законности информации DApp.

4. Кошелек приложение должно отслеживать и фильтровать слова, которые могут быть использованы для фишинговых атак.

В общем, модальные фишинговые атаки используют уязвимость приложений Кошелек, которые не смогли полностью проверить законность представленных элементов пользовательского интерфейса. Повышение осведомленности о таких атаках и укрепление механизмов проверки имеют решающее значение для защиты активов пользователей Web3.