Web3.0 Dompet baru teknik Phishing: serangan phishing modai
Baru-baru ini ditemukan teknik phishing baru yang menargetkan dompet mobile Web3.0, yang dapat menyesatkan pengguna untuk mengungkapkan informasi identitas saat terhubung ke aplikasi terdesentralisasi (DApp). Teknik yang disebut "modal phishing attack" (Modal Phishing) ini sedang digunakan secara luas.
Penyerang berpura-pura menjadi DApp yang sah dengan mengirimkan informasi palsu ke dompet mobile, dan menampilkan konten yang menyesatkan di jendela modal dompet untuk menipu pengguna agar menyetujui transaksi. Pengembang terkait telah mengkonfirmasi bahwa mereka akan meluncurkan API verifikasi baru untuk mengurangi risiko.
Apa itu serangan phishing modal?
Dalam penelitian keamanan dompet mobile, ditemukan bahwa beberapa elemen antarmuka pengguna Web3.0 dompet kripto (UI) dapat dikendalikan oleh penyerang untuk phishing. Disebut sebagai phishing modals, karena serangan ini terutama menargetkan jendela modal dompet kripto.
Modal ( atau jendela modal ) adalah elemen UI yang biasa digunakan dalam aplikasi seluler, biasanya ditampilkan di bagian atas jendela utama, untuk operasi cepat seperti menyetujui/menolak permintaan transaksi, dll. Desain modal yang khas untuk dompet kripto Web3.0 akan menyediakan informasi yang diperlukan untuk diperiksa oleh pengguna, serta tombol untuk menyetujui atau menolak.
Namun, elemen UI ini dapat dikendalikan oleh penyerang untuk melakukan phishing. Penyerang dapat mengubah detail transaksi dan menyamarkan permintaan sebagai "pembaruan keamanan" dan konten menipu lainnya.
Kasus Serangan Tipikal
1. Melalui Wallet Connect untuk Phishing DApp
Dompet Connect adalah protokol sumber terbuka yang sangat populer, digunakan untuk menghubungkan dompet pengguna dengan DApp. Selama proses pem配对, dompet akan menampilkan metadata yang disediakan oleh DApp, seperti nama, URL, ikon, dan sebagainya. Namun, dompet tidak memverifikasi keaslian informasi ini.
Penyerang dapat menyamar sebagai DApp terkenal ( seperti Uniswap ) untuk menghubungkan dompet pengguna. Saat pemasangan, jendela modal di dalam dompet akan menampilkan informasi DApp yang tampak sah. Setelah koneksi berhasil, penyerang dapat mengganti parameter transaksi untuk mencuri dana.
Desain modal dari berbagai Dompet memang berbeda, tetapi penyerang dapat mengontrol informasi meta. Sebagai solusi potensial, protokol Wallet Connect dapat memverifikasi keabsahan informasi DApp sebelumnya.
2. Melalui MetaMask untuk Phishing informasi kontrak pintar
MetaMask akan menampilkan nama fungsi kontrak pintar dalam modal persetujuan transaksi. Penyerang dapat membuat kontrak pintar phishing dengan mendaftarkan nama fungsi sebagai string menyesatkan seperti "SecurityUpdate".
Ketika MetaMask menganalisis kontrak phishing semacam ini, ia akan menampilkan nama fungsi yang menipu ini kepada pengguna di dalam modal persetujuan. Dengan menggabungkan elemen UI yang dapat dikendalikan lainnya, penyerang dapat menciptakan permintaan transaksi palsu yang sangat meyakinkan.
Kesimpulan
Artikel ini mengungkapkan beberapa komponen UI dalam jendela modal dompet kripto Web3.0 yang tidak seharusnya dipercaya secara membabi buta. Elemen-elemen ini dapat dimanipulasi oleh penyerang, menciptakan jebakan phishing yang sangat menipu.
Masalahnya terletak pada aplikasi dompet yang tidak memverifikasi secara memadai keabsahan elemen UI yang ditampilkan. Pengembang harus selalu menganggap data eksternal sebagai tidak tepercaya, dengan hati-hati memilih informasi yang ditampilkan kepada pengguna dan memverifikasi keabsahannya.
Sementara itu, pengguna juga harus waspada terhadap setiap permintaan transaksi yang tidak dikenal, dan berhati-hati terhadap semua tindakan yang mencurigakan untuk memastikan keamanan aset mereka.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
22 Suka
Hadiah
22
5
Posting ulang
Bagikan
Komentar
0/400
FUD_Whisperer
· 07-21 09:36
Ketuk papan, keselamatan adalah yang pertama!
Lihat AsliBalas0
AirdropHunter9000
· 07-20 15:35
Memancing lagi? Sangat menyebalkan.
Lihat AsliBalas0
GasWastingMaximalist
· 07-20 15:31
Hari lain di mana investor ritel harus cut loss.
Lihat AsliBalas0
ProbablyNothing
· 07-20 15:28
Wah, penipuan ini benar-benar baru setiap kali saya melihatnya.
Web3.0 Dompet metode phishing baru: ancaman serangan modal terhadap keamanan aset pengguna
Web3.0 Dompet baru teknik Phishing: serangan phishing modai
Baru-baru ini ditemukan teknik phishing baru yang menargetkan dompet mobile Web3.0, yang dapat menyesatkan pengguna untuk mengungkapkan informasi identitas saat terhubung ke aplikasi terdesentralisasi (DApp). Teknik yang disebut "modal phishing attack" (Modal Phishing) ini sedang digunakan secara luas.
Penyerang berpura-pura menjadi DApp yang sah dengan mengirimkan informasi palsu ke dompet mobile, dan menampilkan konten yang menyesatkan di jendela modal dompet untuk menipu pengguna agar menyetujui transaksi. Pengembang terkait telah mengkonfirmasi bahwa mereka akan meluncurkan API verifikasi baru untuk mengurangi risiko.
Apa itu serangan phishing modal?
Dalam penelitian keamanan dompet mobile, ditemukan bahwa beberapa elemen antarmuka pengguna Web3.0 dompet kripto (UI) dapat dikendalikan oleh penyerang untuk phishing. Disebut sebagai phishing modals, karena serangan ini terutama menargetkan jendela modal dompet kripto.
Modal ( atau jendela modal ) adalah elemen UI yang biasa digunakan dalam aplikasi seluler, biasanya ditampilkan di bagian atas jendela utama, untuk operasi cepat seperti menyetujui/menolak permintaan transaksi, dll. Desain modal yang khas untuk dompet kripto Web3.0 akan menyediakan informasi yang diperlukan untuk diperiksa oleh pengguna, serta tombol untuk menyetujui atau menolak.
Namun, elemen UI ini dapat dikendalikan oleh penyerang untuk melakukan phishing. Penyerang dapat mengubah detail transaksi dan menyamarkan permintaan sebagai "pembaruan keamanan" dan konten menipu lainnya.
Kasus Serangan Tipikal
1. Melalui Wallet Connect untuk Phishing DApp
Dompet Connect adalah protokol sumber terbuka yang sangat populer, digunakan untuk menghubungkan dompet pengguna dengan DApp. Selama proses pem配对, dompet akan menampilkan metadata yang disediakan oleh DApp, seperti nama, URL, ikon, dan sebagainya. Namun, dompet tidak memverifikasi keaslian informasi ini.
Penyerang dapat menyamar sebagai DApp terkenal ( seperti Uniswap ) untuk menghubungkan dompet pengguna. Saat pemasangan, jendela modal di dalam dompet akan menampilkan informasi DApp yang tampak sah. Setelah koneksi berhasil, penyerang dapat mengganti parameter transaksi untuk mencuri dana.
Desain modal dari berbagai Dompet memang berbeda, tetapi penyerang dapat mengontrol informasi meta. Sebagai solusi potensial, protokol Wallet Connect dapat memverifikasi keabsahan informasi DApp sebelumnya.
2. Melalui MetaMask untuk Phishing informasi kontrak pintar
MetaMask akan menampilkan nama fungsi kontrak pintar dalam modal persetujuan transaksi. Penyerang dapat membuat kontrak pintar phishing dengan mendaftarkan nama fungsi sebagai string menyesatkan seperti "SecurityUpdate".
Ketika MetaMask menganalisis kontrak phishing semacam ini, ia akan menampilkan nama fungsi yang menipu ini kepada pengguna di dalam modal persetujuan. Dengan menggabungkan elemen UI yang dapat dikendalikan lainnya, penyerang dapat menciptakan permintaan transaksi palsu yang sangat meyakinkan.
Kesimpulan
Artikel ini mengungkapkan beberapa komponen UI dalam jendela modal dompet kripto Web3.0 yang tidak seharusnya dipercaya secara membabi buta. Elemen-elemen ini dapat dimanipulasi oleh penyerang, menciptakan jebakan phishing yang sangat menipu.
Masalahnya terletak pada aplikasi dompet yang tidak memverifikasi secara memadai keabsahan elemen UI yang ditampilkan. Pengembang harus selalu menganggap data eksternal sebagai tidak tepercaya, dengan hati-hati memilih informasi yang ditampilkan kepada pengguna dan memverifikasi keabsahannya.
Sementara itu, pengguna juga harus waspada terhadap setiap permintaan transaksi yang tidak dikenal, dan berhati-hati terhadap semua tindakan yang mencurigakan untuk memastikan keamanan aset mereka.