Веб3 мобильный Кошелек сталкивается с новыми типами фишинга: модальные окна фишинга

Недавно новая техника фишинга, направленная на мобильные кошельки Web3, привлекла внимание исследователей безопасности. Этот метод атаки, называемый "модальным фишингом"(Modal Phishing), использует уязвимость в дизайне модальных окон мобильных кошельков, что может ввести пользователей в заблуждение и заставить их одобрить злонамеренные транзакции.

Модальные окна являются распространённым элементом интерфейса мобильных приложений, обычно отображаются на верхнем уровне главного экрана и используются для быстрого выполнения операций, таких как одобрение транзакций. Модальные окна Web3-кошельков, как правило, показывают детали транзакции и кнопки одобрения/отказа. Однако исследования показали, что эти элементы интерфейса могут быть контролируемы злоумышленниками для осуществления фишинговых атак.

Конкретно, злоумышленники могут осуществлять модальное фишинг двумя основными способами:

1. Использовать уязвимость протокола Wallet Connect При использовании протокола Wallet Connect для подключения к DApp, злоумышленник может подделать информацию о DApp, такую как название, иконка и т.д. Приложения для кошельков не проверяют подлинность этой информации и напрямую показывают ее пользователю, что предоставляет злоумышленнику возможность воспользоваться этим.

2. Манипуляция информацией смарт-контракта Некоторые кошельки, такие как MetaMask, будут отображать имена функций смарт-контрактов в модальном окне. Злоумышленники могут зарегистрировать вводящие в заблуждение имена функций (, такие как "SecurityUpdate"), чтобы склонить пользователей к одобрению злонамеренных транзакций.

Основная причина таких атак заключается в том, что приложения для кошельков недостаточно проверяют законность отображаемой информации, а просто доверяют и показывают внешние входящие данные. Чтобы противостоять этой угрозе, разработчики кошельков должны всегда предполагать, что внешние данные ненадежны, осторожно выбирать информацию, которую они показывают пользователям, и проверять ее законность. В то же время пользователи также должны проявлять бдительность к неизвестным запросам на транзакции и тщательно проверять детали транзакции, прежде чем принимать решение.

С развитием экосистемы Web3 подобные проблемы безопасности могут продолжать возникать. Приложения для кошельков, обеспечивая удобство, также должны постоянно совершенствовать механизмы безопасности, чтобы предоставить более надежную защиту активов пользователей.