تواجه المحفظة المحمولة Web3 تهديدات جديدة من التصيد: هجمات التصيد النموذجية
في الآونة الأخيرة، تم اكتشاف تقنية جديدة للتصيد، قد تضلل المستخدمين عند الاتصال بتطبيقات لامركزية (DApp) مما يؤدي إلى اتخاذ قرارات خاطئة. وقد تم تسمية هذا الهجوم الجديد "هجوم التصيد النمطي" (Modal Phishing).
المهاجمون يقومون بإرسال معلومات مزورة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي، ويعرضون محتوى مضللاً في نافذة المحفظة، مما يخدع المستخدمين للموافقة على الصفقة. هذه الطريقة أصبحت مستخدمة على نطاق واسع حالياً. قال مطورو المكونات ذات الصلة أنهم سيطلقون واجهة برمجة تطبيقات جديدة للتحقق للحد من المخاطر.
مبدأ هجمات التصيد الاحتيالي
عند إجراء أبحاث الأمان على المحفظة المحمولة، اكتشف الباحثون أن بعض عناصر واجهة المستخدم في محافظ Web3 يمكن أن يتحكم فيها المهاجمون، مما يسهل تنفيذ التصيد. يُطلق عليه "صيد النماذج" لأن الهجمات تستهدف بشكل أساسي النوافذ النموذجية لمحافظ التشفير.
نافذة الحالة هي عنصر واجهة مستخدم شائع في التطبيقات المحمولة، وعادة ما تظهر في أعلى النافذة الرئيسية، وتستخدم للعمليات السريعة، مثل الموافقة/رفض طلبات المعاملة. توفر تصميمات الحالة الشائعة لمحافظ Web3 المعلومات الضرورية لفحصها من قبل المستخدم، بالإضافة إلى أزرار الموافقة أو الرفض.
ومع ذلك، قد يتم التلاعب بهذه العناصر من قبل المهاجمين. على سبيل المثال، يمكن للمهاجمين تغيير تفاصيل المعاملة، وتزييف الطلب ك"تحديث أمان" قادم من "Metamask"، مما يؤدي إلى خداع المستخدمين للموافقة.
حالتان نموذجيتان للهجمات
1. هجوم تصيد عبر Wallet Connect على DApp
بروتوكول Wallet Connect هو بروتوكول مفتوح المصدر شائع، يُستخدم لربط محفظة المستخدم وDApp من خلال رمز الاستجابة السريعة أو رابط عميق. أثناء عملية الاقتران، ستعرض محفظة Web3 نافذة نموذجية تُظهر معلومات الميتا الخاصة بالطلب الوارد، بما في ذلك اسم DApp، وعنوان الموقع، ورمز، ووصف.
المشكلة هي أن هذه المعلومات مقدمة من DApp، ولا تتحقق المحفظة من صحتها. يمكن للمهاجمين انتحال DApp شرعي، وخداع المستخدمين للاتصال والموافقة على المعاملات.
2. من خلال MetaMask التصيد بمعلومات العقود الذكية
تظهر MetaMask نوع المعاملة في وضع الموافقة، مثل "Confirm" أو "Unknown Method". يتم الحصول على هذا العنصر من واجهة المستخدم من خلال قراءة بايتات التوقيع للعقد الذكي واستعلام سجل الأساليب على السلسلة.
يمكن للمهاجمين إنشاء عقد ذكي للتصيد، وتسجيل توقيع الأسلوب كسلسلة مضللة، مثل "SecurityUpdate". عندما يقوم MetaMask بتحليل هذا العقد، سيظهر هذا الاسم المضلل للمستخدم في نموذج الموافقة.
نصائح الوقاية
يجب على مطوري المحفظة افتراض أن البيانات الخارجية غير موثوقة دائمًا، واختيار المعلومات التي تعرض للمستخدمين بعناية والتحقق من مشروعيتها.
يمكن اعتبار بروتوكول Wallet Connect للتحقق المسبق من صحة وشرعية معلومات DApp.
يجب على تطبيق المحفظة مراقبة المحتوى المقدم للمستخدم، وتصفيه الكلمات التي قد تُستخدم في هجمات التصيد.
يجب على المستخدم أن يظل يقظاً تجاه كل طلب تداول غير معروف، والتحقق بعناية من تفاصيل التداول.
بشكل عام، السبب الجذري لهجمات التصيد Modal هو أن تطبيقات المحفظة لم تتمكن من التحقق بشكل كامل من شرعية عناصر واجهة المستخدم المقدمة. يحتاج المطورون والمستخدمون إلى أن يكونوا أكثر حذراً للحفاظ على أمان بيئة Web3.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
4
مشاركة
تعليق
0/400
PensionDestroyer
· منذ 7 س
هل تظن أن هذه الأشياء يمكن أن تخدعني لفخ عملة؟ لا أمل على الإطلاق
شاهد النسخة الأصليةرد0
MondayYoloFridayCry
· منذ 7 س
آي، هناك نوع جديد من الاحتيال، يجب أن نحافظ على المحفظة بإحكام.
شاهد النسخة الأصليةرد0
PanicSeller69
· منذ 7 س
مرة أخرى أصبحت مظلمة حقًا، كل يوم يتم استغلالي بغباء.
تتعرض المحفظة المحمولة Web3 لهجمات تصيد احتيالي موضعي، وتهديدات الشبكة الجديدة بحاجة ماسة إلى الحماية.
تواجه المحفظة المحمولة Web3 تهديدات جديدة من التصيد: هجمات التصيد النموذجية
في الآونة الأخيرة، تم اكتشاف تقنية جديدة للتصيد، قد تضلل المستخدمين عند الاتصال بتطبيقات لامركزية (DApp) مما يؤدي إلى اتخاذ قرارات خاطئة. وقد تم تسمية هذا الهجوم الجديد "هجوم التصيد النمطي" (Modal Phishing).
المهاجمون يقومون بإرسال معلومات مزورة إلى المحفظة المحمولة، متظاهرين بأنهم DApp شرعي، ويعرضون محتوى مضللاً في نافذة المحفظة، مما يخدع المستخدمين للموافقة على الصفقة. هذه الطريقة أصبحت مستخدمة على نطاق واسع حالياً. قال مطورو المكونات ذات الصلة أنهم سيطلقون واجهة برمجة تطبيقات جديدة للتحقق للحد من المخاطر.
مبدأ هجمات التصيد الاحتيالي
عند إجراء أبحاث الأمان على المحفظة المحمولة، اكتشف الباحثون أن بعض عناصر واجهة المستخدم في محافظ Web3 يمكن أن يتحكم فيها المهاجمون، مما يسهل تنفيذ التصيد. يُطلق عليه "صيد النماذج" لأن الهجمات تستهدف بشكل أساسي النوافذ النموذجية لمحافظ التشفير.
نافذة الحالة هي عنصر واجهة مستخدم شائع في التطبيقات المحمولة، وعادة ما تظهر في أعلى النافذة الرئيسية، وتستخدم للعمليات السريعة، مثل الموافقة/رفض طلبات المعاملة. توفر تصميمات الحالة الشائعة لمحافظ Web3 المعلومات الضرورية لفحصها من قبل المستخدم، بالإضافة إلى أزرار الموافقة أو الرفض.
ومع ذلك، قد يتم التلاعب بهذه العناصر من قبل المهاجمين. على سبيل المثال، يمكن للمهاجمين تغيير تفاصيل المعاملة، وتزييف الطلب ك"تحديث أمان" قادم من "Metamask"، مما يؤدي إلى خداع المستخدمين للموافقة.
حالتان نموذجيتان للهجمات
1. هجوم تصيد عبر Wallet Connect على DApp
بروتوكول Wallet Connect هو بروتوكول مفتوح المصدر شائع، يُستخدم لربط محفظة المستخدم وDApp من خلال رمز الاستجابة السريعة أو رابط عميق. أثناء عملية الاقتران، ستعرض محفظة Web3 نافذة نموذجية تُظهر معلومات الميتا الخاصة بالطلب الوارد، بما في ذلك اسم DApp، وعنوان الموقع، ورمز، ووصف.
المشكلة هي أن هذه المعلومات مقدمة من DApp، ولا تتحقق المحفظة من صحتها. يمكن للمهاجمين انتحال DApp شرعي، وخداع المستخدمين للاتصال والموافقة على المعاملات.
2. من خلال MetaMask التصيد بمعلومات العقود الذكية
تظهر MetaMask نوع المعاملة في وضع الموافقة، مثل "Confirm" أو "Unknown Method". يتم الحصول على هذا العنصر من واجهة المستخدم من خلال قراءة بايتات التوقيع للعقد الذكي واستعلام سجل الأساليب على السلسلة.
يمكن للمهاجمين إنشاء عقد ذكي للتصيد، وتسجيل توقيع الأسلوب كسلسلة مضللة، مثل "SecurityUpdate". عندما يقوم MetaMask بتحليل هذا العقد، سيظهر هذا الاسم المضلل للمستخدم في نموذج الموافقة.
نصائح الوقاية
يجب على مطوري المحفظة افتراض أن البيانات الخارجية غير موثوقة دائمًا، واختيار المعلومات التي تعرض للمستخدمين بعناية والتحقق من مشروعيتها.
يمكن اعتبار بروتوكول Wallet Connect للتحقق المسبق من صحة وشرعية معلومات DApp.
يجب على تطبيق المحفظة مراقبة المحتوى المقدم للمستخدم، وتصفيه الكلمات التي قد تُستخدم في هجمات التصيد.
يجب على المستخدم أن يظل يقظاً تجاه كل طلب تداول غير معروف، والتحقق بعناية من تفاصيل التداول.
بشكل عام، السبب الجذري لهجمات التصيد Modal هو أن تطبيقات المحفظة لم تتمكن من التحقق بشكل كامل من شرعية عناصر واجهة المستخدم المقدمة. يحتاج المطورون والمستخدمون إلى أن يكونوا أكثر حذراً للحفاظ على أمان بيئة Web3.