Web3.0 Ví tiền di động phương pháp lừa đảo mới: tấn công lừa đảo mô hình
Gần đây phát hiện một loại kỹ thuật lừa đảo mới nhắm vào Ví tiền di động Web3.0, có thể khiến người dùng tiết lộ thông tin danh tính khi kết nối với ứng dụng phi tập trung (DApp). Kỹ thuật này được gọi là "tấn công lừa đảo theo mô hình"(Modal Phishing) đang được sử dụng rộng rãi.
Kẻ tấn công giả mạo thông tin hợp pháp DApp bằng cách gửi thông điệp giả mạo đến ví tiền di động và hiển thị nội dung gây hiểu lầm trong cửa sổ modal của ví tiền để lừa người dùng phê duyệt giao dịch. Các nhà phát triển liên quan đã xác nhận sẽ ra mắt API xác thực mới để giảm thiểu rủi ro.
Mô hình tấn công lừa đảo là gì?
Trong nghiên cứu về sự an toàn của ví tiền di động, phát hiện rằng một số giao diện người dùng của ví tiền mã hóa Web3.0 có thể bị kẻ tấn công kiểm soát để thực hiện lừa đảo. Được gọi là lừa đảo theo kiểu mô hình, vì các cuộc tấn công chủ yếu nhắm vào các cửa sổ mô hình của ví tiền mã hóa.
Mô-đun ( hoặc cửa sổ mô-đun ) là các yếu tố UI thường được sử dụng trong ứng dụng di động, thường được hiển thị ở đầu cửa sổ chính, nhằm thực hiện các thao tác nhanh như chấp thuận/từ chối yêu cầu giao dịch. Thiết kế mô-đun điển hình của Ví tiền Web3.0 sẽ cung cấp thông tin cần thiết để người dùng kiểm tra, cùng với các nút chấp thuận hoặc từ chối.
Tuy nhiên, các yếu tố UI này có thể bị kẻ tấn công thao túng để thực hiện lừa đảo. Kẻ tấn công có thể thay đổi chi tiết giao dịch, ngụy trang yêu cầu thành các nội dung gợi ý như "cập nhật an toàn".
Các trường hợp tấn công điển hình
( 1. Thông qua Wallet Connect để lừa đảo DApp
Ví tiền Connect là giao thức mã nguồn mở được ưa chuộng, dùng để kết nối ví của người dùng với DApp. Trong quá trình ghép nối, ví sẽ hiển thị thông tin metadata do DApp cung cấp, như tên, trang web, biểu tượng, v.v. Tuy nhiên, ví không xác thực tính xác thực của những thông tin này.
Kẻ tấn công có thể giả mạo DApp nổi tiếng ) như Uniswap ### để kết nối ví tiền của người dùng. Trong quá trình ghép nối, cửa sổ mô-đun trong ví tiền sẽ hiển thị thông tin DApp có vẻ hợp pháp. Khi kết nối thành công, kẻ tấn công có thể thay thế các tham số giao dịch để đánh cắp tiền.
Mặc dù thiết kế mô-đun của các ví tiền khác nhau có sự khác biệt, nhưng kẻ tấn công đều có thể kiểm soát thông tin siêu dữ liệu. Là một giải pháp tiềm năng, giao thức Wallet Connect có thể xác minh trước tính hợp lệ của thông tin DApp.
( 2. Thông tin lừa đảo hợp đồng thông minh qua MetaMask
MetaMask sẽ hiển thị tên hàm của hợp đồng thông minh trong chế độ phê duyệt giao dịch. Kẻ tấn công có thể tạo ra hợp đồng thông minh lừa đảo, đăng ký tên hàm là những chuỗi gây hiểu lầm như "SecurityUpdate".
Khi MetaMask phân tích các hợp đồng lừa đảo kiểu này, nó sẽ hiển thị những tên hàm lừa đảo này cho người dùng trong chế độ phê duyệt. Kết hợp với các yếu tố UI có thể kiểm soát khác, kẻ tấn công có thể tạo ra những yêu cầu giao dịch giả mạo rất thuyết phục.
![Khám phá lừa đảo mới trong Ví tiền Web3.0: Tấn công lừa đảo theo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp###
Kết luận
Bài viết này tiết lộ một số thành phần UI trong cửa sổ mô-đun ví tiền Web3.0 mà không nên được tin tưởng mù quáng. Những yếu tố này có thể bị kẻ tấn công thao túng, tạo ra những cái bẫy lừa đảo cực kỳ lừa dối.
Vấn đề nằm ở chỗ ứng dụng Ví tiền không xác minh đầy đủ tính hợp pháp của các yếu tố UI được trình bày. Các nhà phát triển luôn nên xem dữ liệu bên ngoài là không đáng tin cậy, cẩn thận chọn thông tin hiển thị cho người dùng và xác minh tính hợp pháp của nó.
Đồng thời, người dùng cũng nên cảnh giác với từng yêu cầu giao dịch không rõ ràng, cẩn trọng với tất cả các hoạt động đáng ngờ để đảm bảo an toàn cho tài sản của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
22 thích
Phần thưởng
22
5
Đăng lại
Chia sẻ
Bình luận
0/400
FUD_Whisperer
· 07-21 09:36
Gõ bảng An toàn là hàng đầu nhé
Xem bản gốcTrả lời0
AirdropHunter9000
· 07-20 15:35
Lại câu cá nữa? Thật là chết người.
Xem bản gốcTrả lời0
GasWastingMaximalist
· 07-20 15:31
Lại một ngày bán lẻ cắt lỗ.
Xem bản gốcTrả lời0
ProbablyNothing
· 07-20 15:28
Ôi chao, trò lừa đảo này thật sự thấy một cái mới một cái.
Web3.0 Ví tiền mới kiểu lừa đảo: mối đe dọa tấn công theo kiểu mô hình đến bảo mật tài sản người dùng
Web3.0 Ví tiền di động phương pháp lừa đảo mới: tấn công lừa đảo mô hình
Gần đây phát hiện một loại kỹ thuật lừa đảo mới nhắm vào Ví tiền di động Web3.0, có thể khiến người dùng tiết lộ thông tin danh tính khi kết nối với ứng dụng phi tập trung (DApp). Kỹ thuật này được gọi là "tấn công lừa đảo theo mô hình"(Modal Phishing) đang được sử dụng rộng rãi.
Kẻ tấn công giả mạo thông tin hợp pháp DApp bằng cách gửi thông điệp giả mạo đến ví tiền di động và hiển thị nội dung gây hiểu lầm trong cửa sổ modal của ví tiền để lừa người dùng phê duyệt giao dịch. Các nhà phát triển liên quan đã xác nhận sẽ ra mắt API xác thực mới để giảm thiểu rủi ro.
Mô hình tấn công lừa đảo là gì?
Trong nghiên cứu về sự an toàn của ví tiền di động, phát hiện rằng một số giao diện người dùng của ví tiền mã hóa Web3.0 có thể bị kẻ tấn công kiểm soát để thực hiện lừa đảo. Được gọi là lừa đảo theo kiểu mô hình, vì các cuộc tấn công chủ yếu nhắm vào các cửa sổ mô hình của ví tiền mã hóa.
Mô-đun ( hoặc cửa sổ mô-đun ) là các yếu tố UI thường được sử dụng trong ứng dụng di động, thường được hiển thị ở đầu cửa sổ chính, nhằm thực hiện các thao tác nhanh như chấp thuận/từ chối yêu cầu giao dịch. Thiết kế mô-đun điển hình của Ví tiền Web3.0 sẽ cung cấp thông tin cần thiết để người dùng kiểm tra, cùng với các nút chấp thuận hoặc từ chối.
Tuy nhiên, các yếu tố UI này có thể bị kẻ tấn công thao túng để thực hiện lừa đảo. Kẻ tấn công có thể thay đổi chi tiết giao dịch, ngụy trang yêu cầu thành các nội dung gợi ý như "cập nhật an toàn".
Các trường hợp tấn công điển hình
( 1. Thông qua Wallet Connect để lừa đảo DApp
Ví tiền Connect là giao thức mã nguồn mở được ưa chuộng, dùng để kết nối ví của người dùng với DApp. Trong quá trình ghép nối, ví sẽ hiển thị thông tin metadata do DApp cung cấp, như tên, trang web, biểu tượng, v.v. Tuy nhiên, ví không xác thực tính xác thực của những thông tin này.
Kẻ tấn công có thể giả mạo DApp nổi tiếng ) như Uniswap ### để kết nối ví tiền của người dùng. Trong quá trình ghép nối, cửa sổ mô-đun trong ví tiền sẽ hiển thị thông tin DApp có vẻ hợp pháp. Khi kết nối thành công, kẻ tấn công có thể thay thế các tham số giao dịch để đánh cắp tiền.
Mặc dù thiết kế mô-đun của các ví tiền khác nhau có sự khác biệt, nhưng kẻ tấn công đều có thể kiểm soát thông tin siêu dữ liệu. Là một giải pháp tiềm năng, giao thức Wallet Connect có thể xác minh trước tính hợp lệ của thông tin DApp.
( 2. Thông tin lừa đảo hợp đồng thông minh qua MetaMask
MetaMask sẽ hiển thị tên hàm của hợp đồng thông minh trong chế độ phê duyệt giao dịch. Kẻ tấn công có thể tạo ra hợp đồng thông minh lừa đảo, đăng ký tên hàm là những chuỗi gây hiểu lầm như "SecurityUpdate".
Khi MetaMask phân tích các hợp đồng lừa đảo kiểu này, nó sẽ hiển thị những tên hàm lừa đảo này cho người dùng trong chế độ phê duyệt. Kết hợp với các yếu tố UI có thể kiểm soát khác, kẻ tấn công có thể tạo ra những yêu cầu giao dịch giả mạo rất thuyết phục.
![Khám phá lừa đảo mới trong Ví tiền Web3.0: Tấn công lừa đảo theo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp###
Kết luận
Bài viết này tiết lộ một số thành phần UI trong cửa sổ mô-đun ví tiền Web3.0 mà không nên được tin tưởng mù quáng. Những yếu tố này có thể bị kẻ tấn công thao túng, tạo ra những cái bẫy lừa đảo cực kỳ lừa dối.
Vấn đề nằm ở chỗ ứng dụng Ví tiền không xác minh đầy đủ tính hợp pháp của các yếu tố UI được trình bày. Các nhà phát triển luôn nên xem dữ liệu bên ngoài là không đáng tin cậy, cẩn thận chọn thông tin hiển thị cho người dùng và xác minh tính hợp pháp của nó.
Đồng thời, người dùng cũng nên cảnh giác với từng yêu cầu giao dịch không rõ ràng, cẩn trọng với tất cả các hoạt động đáng ngờ để đảm bảo an toàn cho tài sản của mình.