# ウェブ3.0モバイルウォレット新型フィッシング手法:モーダルフィッシング攻撃最近、Web3.0ウォレットをターゲットにした新しいフィッシング技術が発見され、ユーザーが非中央集権アプリ(DApp)に接続する際に、個人情報を漏洩させるように誤導される可能性があります。この"モーダルフィッシング攻撃"(Modal Phishing)の手法は広く使用されています。攻撃者は、モバイルウォレットに偽の情報を送信して合法的なDAppを装い、ウォレットのモーダルウィンドウに誤解を招く内容を表示させることで、ユーザーに取引を承認させるよう仕向けます。関連する開発者は、リスクを低減するために新しい検証APIを導入することを確認しました。## モーダルフィッシング攻撃とは?モバイルウォレットのセキュリティ研究において、ウェブ3.0暗号ウォレットの一部のユーザーインターフェース(UI)要素が攻撃者によってフィッシングに利用される可能性があることが発見されました。この攻撃がモーダルフィッシングと呼ばれるのは、攻撃が主に暗号ウォレットのモーダルウィンドウを対象としているためです。モーダル(またはモーダルウィンドウ)は、モバイルアプリで一般的に使用されるUI要素で、通常はメインウィンドウの上部に表示され、取引リクエストの承認/拒否などの迅速な操作に使用されます。ウェブ3.0暗号ウォレットの典型的なモーダルデザインは、ユーザーが確認するための必要な情報と、承認または拒否のボタンを提供します。しかし、これらのUI要素は攻撃者によって操作されてフィッシングに利用される可能性があります。攻撃者は取引の詳細を変更し、リクエストを「安全な更新」などの誘導的な内容に偽装することができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## 典型的な攻撃事例### 1. ウォレットコネクトを通じてDAppフィッシングを行うWallet Connectは、ユーザーのウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中、ウォレットはDAppが提供するメタ情報(名前、URL、アイコンなど)を表示します。しかし、ウォレットはこれらの情報の真偽を検証しません。攻撃者は有名なDApp(、例えばUniswap)になりすまし、ユーザーのウォレットに接続します。ペアリング中、ウォレット内のモーダルウィンドウには一見合法的なDApp情報が表示されます。一旦接続が成功すると、攻撃者は取引パラメータを置き換えて資金を盗むことができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)異なるウォレットのモーダルデザインには違いがあるが、攻撃者はメタ情報を制御できる。潜在的な解決策として、Wallet ConnectプロトコルはDApp情報の有効性を事前に検証できる。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)### 2. MetaMaskを通じてスマートコントラクト情報のフィッシングMetaMaskは取引承認モーダルでスマートコントラクトの関数名を表示します。攻撃者はフィッシングスマートコントラクトを作成し、関数名を"SecurityUpdate"などの誤解を招く文字列として登録することができます。MetaMaskがこのようなフィッシング契約を解析する際、承認モーダルでユーザーにこれらの欺瞞的な関数名を表示します。他の制御可能なUI要素と組み合わせることで、攻撃者は非常に説得力のある偽の取引リクエストを作成できます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)## まとめ本文は、ウェブ3.0暗号ウォレットモーダルウィンドウにおいて、盲目的に信頼すべきでないUIコンポーネントを明らかにしています。これらの要素は攻撃者によって操作され、非常に欺瞞的なフィッシングトラップを作り出すことができます。問題の根源は、ウォレットアプリが表示されるUI要素の合法性を十分に検証していないことにあります。開発者は常に外部データを信頼できないものと見なし、ユーザーに表示する情報を慎重に選択し、その合法性を検証すべきです。同時に、ユーザーは未知の取引リクエストに対して警戒を怠らず、すべての疑わしい操作に慎重に対処し、自身の資産の安全を確保するべきです。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)
ウェブ3.0ウォレット新型フィッシング手法:モーダル攻撃はユーザーの資産の安全性を脅かします
ウェブ3.0モバイルウォレット新型フィッシング手法:モーダルフィッシング攻撃
最近、Web3.0ウォレットをターゲットにした新しいフィッシング技術が発見され、ユーザーが非中央集権アプリ(DApp)に接続する際に、個人情報を漏洩させるように誤導される可能性があります。この"モーダルフィッシング攻撃"(Modal Phishing)の手法は広く使用されています。
攻撃者は、モバイルウォレットに偽の情報を送信して合法的なDAppを装い、ウォレットのモーダルウィンドウに誤解を招く内容を表示させることで、ユーザーに取引を承認させるよう仕向けます。関連する開発者は、リスクを低減するために新しい検証APIを導入することを確認しました。
モーダルフィッシング攻撃とは?
モバイルウォレットのセキュリティ研究において、ウェブ3.0暗号ウォレットの一部のユーザーインターフェース(UI)要素が攻撃者によってフィッシングに利用される可能性があることが発見されました。この攻撃がモーダルフィッシングと呼ばれるのは、攻撃が主に暗号ウォレットのモーダルウィンドウを対象としているためです。
モーダル(またはモーダルウィンドウ)は、モバイルアプリで一般的に使用されるUI要素で、通常はメインウィンドウの上部に表示され、取引リクエストの承認/拒否などの迅速な操作に使用されます。ウェブ3.0暗号ウォレットの典型的なモーダルデザインは、ユーザーが確認するための必要な情報と、承認または拒否のボタンを提供します。
しかし、これらのUI要素は攻撃者によって操作されてフィッシングに利用される可能性があります。攻撃者は取引の詳細を変更し、リクエストを「安全な更新」などの誘導的な内容に偽装することができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
典型的な攻撃事例
1. ウォレットコネクトを通じてDAppフィッシングを行う
Wallet Connectは、ユーザーのウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中、ウォレットはDAppが提供するメタ情報(名前、URL、アイコンなど)を表示します。しかし、ウォレットはこれらの情報の真偽を検証しません。
攻撃者は有名なDApp(、例えばUniswap)になりすまし、ユーザーのウォレットに接続します。ペアリング中、ウォレット内のモーダルウィンドウには一見合法的なDApp情報が表示されます。一旦接続が成功すると、攻撃者は取引パラメータを置き換えて資金を盗むことができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
異なるウォレットのモーダルデザインには違いがあるが、攻撃者はメタ情報を制御できる。潜在的な解決策として、Wallet ConnectプロトコルはDApp情報の有効性を事前に検証できる。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
2. MetaMaskを通じてスマートコントラクト情報のフィッシング
MetaMaskは取引承認モーダルでスマートコントラクトの関数名を表示します。攻撃者はフィッシングスマートコントラクトを作成し、関数名を"SecurityUpdate"などの誤解を招く文字列として登録することができます。
MetaMaskがこのようなフィッシング契約を解析する際、承認モーダルでユーザーにこれらの欺瞞的な関数名を表示します。他の制御可能なUI要素と組み合わせることで、攻撃者は非常に説得力のある偽の取引リクエストを作成できます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
まとめ
本文は、ウェブ3.0暗号ウォレットモーダルウィンドウにおいて、盲目的に信頼すべきでないUIコンポーネントを明らかにしています。これらの要素は攻撃者によって操作され、非常に欺瞞的なフィッシングトラップを作り出すことができます。
問題の根源は、ウォレットアプリが表示されるUI要素の合法性を十分に検証していないことにあります。開発者は常に外部データを信頼できないものと見なし、ユーザーに表示する情報を慎重に選択し、その合法性を検証すべきです。
同時に、ユーザーは未知の取引リクエストに対して警戒を怠らず、すべての疑わしい操作に慎重に対処し、自身の資産の安全を確保するべきです。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング