Dompet Web3 Mobile Menghadapi Serangan Phishing Baru: Phishing Modal Jendela

Baru-baru ini, sebuah teknik phishing baru yang menargetkan dompet seluler Web3 menarik perhatian para peneliti keamanan. Serangan yang disebut "modal phishing"(Modal Phishing) ini memanfaatkan celah desain jendela modal dalam aplikasi dompet seluler, yang dapat menyesatkan pengguna untuk menyetujui transaksi jahat.

Jendela modal adalah elemen antarmuka yang umum digunakan dalam aplikasi mobile, biasanya ditampilkan di lapisan atas antarmuka utama, digunakan untuk operasi cepat seperti menyetujui transaksi, dll. Jendela modal pada dompet Web3 umumnya akan menampilkan rincian transaksi dan tombol setuju/tolak. Namun, penelitian menemukan bahwa elemen antarmuka ini dapat dikendalikan oleh penyerang, digunakan untuk melakukan serangan phishing.

Secara khusus, penyerang dapat melakukan phishing modal melalui dua cara utama berikut:

1. Memanfaatkan celah protokol Wallet Connect Saat menggunakan protokol Wallet Connect untuk menghubungkan DApp, penyerang dapat memalsukan informasi DApp, seperti nama, ikon, dll. Aplikasi dompet tidak memverifikasi keaslian informasi ini dan langsung menampilkannya kepada pengguna, memberi kesempatan kepada penyerang.

2. Mengelola informasi kontrak pintar Beberapa dompet seperti MetaMask akan menampilkan nama fungsi kontrak pintar di jendela modal. Penyerang dapat mendaftarkan nama fungsi yang menyesatkan ( seperti "SecurityUpdate" ), yang mengarahkan pengguna untuk menyetujui transaksi jahat.

Penyebab dasar dari serangan jenis ini adalah aplikasi dompet yang tidak memverifikasi keabsahan informasi yang ditampilkan dengan cukup, melainkan langsung mempercayai dan menampilkan data yang masuk dari luar. Untuk mengatasi ancaman ini, pengembang dompet harus selalu menganggap bahwa data eksternal tidak dapat dipercaya, memilih dengan hati-hati informasi yang ditampilkan kepada pengguna dan memverifikasi keabsahannya. Pada saat yang sama, pengguna juga harus tetap waspada terhadap permintaan transaksi yang tidak dikenal, dengan teliti memverifikasi detail transaksi sebelum membuat keputusan.

Seiring dengan perkembangan ekosistem Web3, tantangan keamanan serupa mungkin akan terus muncul. Aplikasi Dompet perlu terus meningkatkan mekanisme keamanannya sambil menawarkan kenyamanan, untuk memberikan perlindungan yang lebih andal bagi keamanan aset pengguna.