Web3.0 Ví tiền mới kiểu tấn công lừa đảo: Lừa đảo cửa sổ mô hình

Gần đây, một công nghệ lừa đảo mới đã thu hút sự chú ý trong lĩnh vực Web3.0. Công nghệ này đặc biệt nhắm vào các bước kết nối danh tính của ứng dụng phi tập trung (DApp), thông qua các phương thức lừa đảo để đánh lừa nạn nhân. Chúng tôi đã đặt tên cho nó là "tấn công lừa đảo cửa sổ mô hình".

Kẻ tấn công lợi dụng cửa sổ mô-đun của ví tiền di động, hiển thị thông tin giả cho người dùng, giả mạo thành DApp hợp pháp, dụ dỗ người dùng phê duyệt giao dịch. Chiêu trò lừa đảo này đang lan rộng. Các nhà phát triển thành phần liên quan đã xác nhận sẽ ra mắt API xác thực mới để giảm thiểu rủi ro.

Nguyên lý tấn công lừa đảo bằng cửa sổ mô-đun

Trong nghiên cứu về an ninh của ví tiền di động, chúng tôi phát hiện rằng một số yếu tố giao diện người dùng của ví tiền mã hóa Web3.0 có thể bị kẻ tấn công kiểm soát, được sử dụng để thực hiện các cuộc tấn công lừa đảo. Được gọi là lừa đảo cửa sổ modal, vì các cuộc tấn công chủ yếu nhắm vào cửa sổ modal của ví tiền mã hóa.

Cửa sổ modal là một yếu tố UI phổ biến trong ứng dụng di động, thường hiển thị ở đầu cửa sổ chính, dùng để thực hiện các thao tác nhanh, như chấp thuận hoặc từ chối yêu cầu giao dịch. Thiết kế cửa sổ modal ví tiền Web3.0 điển hình bao gồm chi tiết giao dịch và nút thao tác.

Tuy nhiên, các yếu tố giao diện người dùng này có thể bị kẻ tấn công thao túng. Kẻ tấn công có thể thay đổi chi tiết giao dịch, giả mạo yêu cầu giao dịch như một bản cập nhật quan trọng từ nguồn tin cậy, dụ dỗ người dùng phê duyệt.

Hai trường hợp tấn công điển hình

1. Thực hiện lừa đảo DApp qua Wallet Connect

Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví người dùng với DApp. Trong quá trình ghép đôi, ví Web3.0 sẽ hiển thị một cửa sổ mô-đun, hiển thị tên DApp, địa chỉ web, biểu tượng và các thông tin khác. Tuy nhiên, những thông tin này được cung cấp bởi DApp, ví không xác minh tính xác thực của chúng.

Kẻ tấn công có thể giả mạo DApp nổi tiếng, dụ dỗ người dùng kết nối và phê duyệt giao dịch. Ví dụ, kẻ tấn công có thể giả dạng Uniswap, hiển thị tên, địa chỉ website và biểu tượng tương tự, làm cho cửa sổ mô hình trông rất thực.

Mặc dù thiết kế mô hình của các Ví tiền khác nhau có sự khác biệt, nhưng kẻ tấn công luôn có thể kiểm soát những thông tin này.

2. Lừa đảo thông tin hợp đồng thông minh thông qua MetaMask

Trong cửa sổ mô-đun phê duyệt giao dịch của MetaMask, ngoài thông tin DApp, còn hiển thị loại giao dịch. Thông tin này được thu thập bằng cách đọc byte chữ ký của hợp đồng thông minh và truy vấn bảng đăng ký phương thức trên chuỗi.

Kẻ tấn công có thể tạo ra hợp đồng thông minh lừa đảo, đăng ký tên phương thức là "SecurityUpdate" và các chuỗi gây nhầm lẫn khác. Khi MetaMask phân tích hợp đồng này, nó sẽ hiển thị tên này cho người dùng trong mô hình phê duyệt, khiến giao dịch trông giống như một cập nhật bảo mật quan trọng.

Đề xuất phòng ngừa

1. Các nhà phát triển Ví tiền nên giả định rằng tất cả dữ liệu bên ngoài đều không đáng tin cậy, cẩn thận lựa chọn thông tin hiển thị cho người dùng và xác minh tính hợp pháp của nó.

2. Các giao thức như Wallet Connect cần xác minh tính hợp lệ và hợp pháp của thông tin DApp trước.

3. Ứng dụng Ví tiền nên theo dõi và lọc các từ có thể được sử dụng cho các cuộc tấn công lừa đảo.

4. Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không rõ ràng và không nên dễ dàng tin tưởng thông tin hiển thị trong cửa sổ mô hình.

Tóm lại, các cuộc tấn công lừa đảo qua cửa sổ mô-đun nhắc nhở chúng ta rằng các vấn đề an ninh trong hệ sinh thái Web3.0 vẫn cần được chú ý và cải thiện liên tục. Các nhà phát triển và người dùng đều nên nâng cao cảnh giác, cùng nhau bảo vệ an ninh của môi trường Web3.0.