Rủi ro an toàn của ví tiền di động Web3: Giải thích chi tiết về tấn công lừa đảo mô hình

Gần đây, một loại kỹ thuật lừa đảo mới nhắm vào ví tiền di động Web3 đã được phát hiện, kỹ thuật tấn công này chủ yếu lợi dụng cửa sổ mô-đun trong ứng dụng ví tiền để đánh lừa người dùng. Chúng tôi đã đặt tên cho kỹ thuật lừa đảo mới này là "Tấn công lừa đảo mô-đun"(Modal Phishing).

Trong cuộc tấn công này, tin tặc có thể gửi thông tin giả mạo đến Ví tiền di động, mạo danh ứng dụng phi tập trung hợp pháp (DApp), và lừa người dùng phê duyệt giao dịch bằng cách hiển thị thông tin sai lệch trong cửa sổ mô-đun của Ví tiền. Kỹ thuật này đang được sử dụng rộng rãi, các nhà phát triển liên quan đã xác nhận sẽ phát hành API xác thực mới để giảm thiểu rủi ro.

Mô hình tấn công lừa đảo là gì?

Tấn công lừa đảo theo mô-đun chủ yếu nhắm vào cửa sổ mô-đun của ví tiền tiền điện tử. Mô-đun ( hoặc cửa sổ mô-đun ) là các yếu tố UI thường được sử dụng trong ứng dụng di động, thường hiển thị ở đầu cửa sổ chính của ứng dụng, để thuận tiện cho người dùng thực hiện các thao tác nhanh, như chấp thuận/từ chối yêu cầu giao dịch của ví tiền Web3.

Thiết kế cửa sổ mô-đun ví tiền Web3 điển hình thường cung cấp chi tiết giao dịch để người dùng kiểm tra, cùng với các nút chấp thuận hoặc từ chối. Tuy nhiên, các yếu tố giao diện người dùng này có thể bị kẻ tấn công điều khiển, được sử dụng để thực hiện các cuộc tấn công lừa đảo.

Hai trường hợp điển hình của tấn công lừa đảo mô hình

1. Tấn công lừa đảo DApp thông qua Wallet Connect

Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép đôi, ví Web3 sẽ hiển thị một cửa sổ mô-đun, trình bày thông tin meta của yêu cầu ghép đôi đến, bao gồm tên DApp, trang web, biểu tượng và mô tả.

Tuy nhiên, thông tin này được cung cấp bởi DApp, Ví tiền không xác thực tính chính xác của nó. Kẻ tấn công có thể giả mạo thông tin này, mạo danh DApp hợp pháp. Ví dụ, kẻ tấn công có thể tuyên bố mình là Uniswap và kết nối với Ví tiền của người dùng, lừa đảo người dùng phê duyệt giao dịch.

2. Thực hiện phishing thông qua thông tin hợp đồng thông minh

Một số ứng dụng Ví tiền sẽ hiển thị tên phương thức của hợp đồng thông minh trong cửa sổ mô-đun phê duyệt giao dịch. Yếu tố UI này cũng có thể bị kẻ tấn công kiểm soát.

Ví dụ, kẻ tấn công có thể tạo ra một hợp đồng thông minh lừa đảo, trong đó có một hàm thanh toán có tên là "SecurityUpdate". Khi ví tiền phân tích hợp đồng này, nó sẽ hiển thị từ "Security Update" trong mô-đun phê duyệt cho người dùng, làm cho giao dịch trông đáng tin cậy hơn.

Đề xuất phòng ngừa

1. Các nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy, cẩn thận chọn những thông tin nào sẽ hiển thị cho người dùng và xác minh tính hợp pháp của những thông tin này.

2. Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không rõ ràng, không nên dễ dàng tin tưởng vào thông tin hiển thị trong cửa sổ mô hình.

3. Giao thức kết nối DApp ( như Wallet Connect ) cần xem xét việc xác minh trước tính hợp lệ và hợp pháp của thông tin DApp.

4. Ứng dụng Ví tiền nên giám sát và lọc các từ có thể được sử dụng cho các cuộc tấn công lừa đảo.

Tóm lại, các cuộc tấn công lừa đảo mô-đun khai thác lỗ hổng trong việc ứng dụng Ví tiền không xác minh hoàn toàn tính hợp pháp của các yếu tố giao diện người dùng được trình bày. Tăng cường nhận thức về những cuộc tấn công này và củng cố cơ chế xác minh là vô cùng quan trọng để bảo vệ an toàn tài sản của người dùng Web3.