# Web3モバイルウォレットが新たなフィッシング脅威に直面:モーダルフィッシング攻撃最近、新しいタイプのフィッシング技術が発見され、ユーザーが分散型アプリ(DApp)に接続する際に誤った判断を下す可能性があります。この新しい攻撃は「モーダルフィッシング攻撃」と名付けられています(。攻撃者はモバイルウォレットに偽の情報を送信し、合法的なDAppを装って、ウォレットのモーダルウィンドウに誤解を招く内容を表示させ、ユーザーに取引を承認させるよう誘導します。この手法は現在広く使用されています。関連コンポーネントの開発者はリスクを低減するための新しい検証APIを発表する予定です。## モーダルフィッシング攻撃の原理モバイルウォレットのセキュリティ調査を行った際、研究者たちはWeb3ウォレットの特定のユーザーインターフェース要素が攻撃者によって制御される可能性があることを発見し、それによってフィッシングを実施することができると指摘しました。 "モーダルフィッシング"と呼ばれる理由は、攻撃が主に暗号ウォレットのモーダルウィンドウを対象としているからです。モーダルウィンドウは、モバイルアプリケーションで一般的なUI要素であり、通常はメインウィンドウの上部に表示され、取引リクエストの承認/拒否などの迅速な操作に使用されます。典型的なWeb3ウォレットのモーダルデザインは、ユーザーが確認するための必要な情報と承認または拒否のボタンを提供します。しかし、これらのUI要素は攻撃者によって操作される可能性があります。たとえば、攻撃者は取引の詳細を変更し、リクエストを"Metamask"からの"安全な更新"に偽装して、ユーザーに承認させることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2(## 2つの典型的な攻撃ケース) 1. ウォレット Connectを通じてDAppフィッシング攻撃Wallet Connectプロトコルは、QRコードまたはディープリンクを介してユーザーウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中に、Web3ウォレットはモーダルウィンドウを表示し、DAppの名前、URL、アイコン、および説明を含む受信リクエストのメタ情報を示します。問題は、これらの情報がDAppによって提供されており、ウォレットはその真偽を検証しないことです。攻撃者は合法的なDAppになりすまし、ユーザーを騙して接続し、取引を承認させることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃]###https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498(! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d() 2. MetaMaskを通じたスマートコントラクト情報のフィッシングMetaMaskは、承認モーダルで取引タイプを表示します。例えば、「Confirm」や「Unknown Method」です。このUI要素は、スマートコントラクトの署名バイトを読み取り、チェーン上のメソッドレジストリを照会することで取得されます。攻撃者はフィッシングスマートコントラクトを作成し、メソッドシグネチャを"SecurityUpdate"のような誤解を招く文字列として登録できます。MetaMaskがこのコントラクトを解析すると、承認モーダルでユーザーにこの誤解を招く名前を表示します。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング]###https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c(! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489(! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d(! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] )https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e(! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91(## 予防に関する推奨事項1. ウォレット開発者は常に外部データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を検証する必要があります。2. ウォレットコネクトプロトコルは、DApp情報の有効性と合法性を事前に検証することを検討できます。3. ウォレットアプリは、ユーザーに表示されるコンテンツを監視し、フィッシング攻撃に使用される可能性のある言葉をフィルタリングする必要があります。4. ユーザーは未知の取引リクエストに対して警戒を怠らず、取引の詳細を慎重に確認する必要があります。総じて、Modal Phishing攻撃の根本的な原因は、ウォレットアプリが提示されたUI要素の合法性を徹底的に検証できていないことです。開発者とユーザーは警戒を高め、共にWeb3エコシステムの安全を維持する必要があります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング])https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9(
Web3モバイルウォレットがモーダルフィッシング攻撃に遭遇 新たなネットワーク脅威への対策が急務
Web3モバイルウォレットが新たなフィッシング脅威に直面:モーダルフィッシング攻撃
最近、新しいタイプのフィッシング技術が発見され、ユーザーが分散型アプリ(DApp)に接続する際に誤った判断を下す可能性があります。この新しい攻撃は「モーダルフィッシング攻撃」と名付けられています(。
攻撃者はモバイルウォレットに偽の情報を送信し、合法的なDAppを装って、ウォレットのモーダルウィンドウに誤解を招く内容を表示させ、ユーザーに取引を承認させるよう誘導します。この手法は現在広く使用されています。関連コンポーネントの開発者はリスクを低減するための新しい検証APIを発表する予定です。
モーダルフィッシング攻撃の原理
モバイルウォレットのセキュリティ調査を行った際、研究者たちはWeb3ウォレットの特定のユーザーインターフェース要素が攻撃者によって制御される可能性があることを発見し、それによってフィッシングを実施することができると指摘しました。 "モーダルフィッシング"と呼ばれる理由は、攻撃が主に暗号ウォレットのモーダルウィンドウを対象としているからです。
モーダルウィンドウは、モバイルアプリケーションで一般的なUI要素であり、通常はメインウィンドウの上部に表示され、取引リクエストの承認/拒否などの迅速な操作に使用されます。典型的なWeb3ウォレットのモーダルデザインは、ユーザーが確認するための必要な情報と承認または拒否のボタンを提供します。
しかし、これらのUI要素は攻撃者によって操作される可能性があります。たとえば、攻撃者は取引の詳細を変更し、リクエストを"Metamask"からの"安全な更新"に偽装して、ユーザーに承認させることができます。
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/webp-social/moments-5e20d7bf94995070ef023d62154c13c2.webp(
2つの典型的な攻撃ケース
) 1. ウォレット Connectを通じてDAppフィッシング攻撃
Wallet Connectプロトコルは、QRコードまたはディープリンクを介してユーザーウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中に、Web3ウォレットはモーダルウィンドウを表示し、DAppの名前、URL、アイコン、および説明を含む受信リクエストのメタ情報を示します。
問題は、これらの情報がDAppによって提供されており、ウォレットはその真偽を検証しないことです。攻撃者は合法的なDAppになりすまし、ユーザーを騙して接続し、取引を承認させることができます。
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃]###https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp(
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp(
) 2. MetaMaskを通じたスマートコントラクト情報のフィッシング
MetaMaskは、承認モーダルで取引タイプを表示します。例えば、「Confirm」や「Unknown Method」です。このUI要素は、スマートコントラクトの署名バイトを読み取り、チェーン上のメソッドレジストリを照会することで取得されます。
攻撃者はフィッシングスマートコントラクトを作成し、メソッドシグネチャを"SecurityUpdate"のような誤解を招く文字列として登録できます。MetaMaskがこのコントラクトを解析すると、承認モーダルでユーザーにこの誤解を招く名前を表示します。
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング]###https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp(
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/webp-social/moments-2de349fc736a88000db66b2238cd5489.webp(
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp(
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] )https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp(
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃])https://img-cdn.gateio.im/webp-social/moments-9589d873000950a9132010c1a9323e91.webp(
予防に関する推奨事項
ウォレット開発者は常に外部データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を検証する必要があります。
ウォレットコネクトプロトコルは、DApp情報の有効性と合法性を事前に検証することを検討できます。
ウォレットアプリは、ユーザーに表示されるコンテンツを監視し、フィッシング攻撃に使用される可能性のある言葉をフィルタリングする必要があります。
ユーザーは未知の取引リクエストに対して警戒を怠らず、取引の詳細を慎重に確認する必要があります。
総じて、Modal Phishing攻撃の根本的な原因は、ウォレットアプリが提示されたUI要素の合法性を徹底的に検証できていないことです。開発者とユーザーは警戒を高め、共にWeb3エコシステムの安全を維持する必要があります。
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング])https://img-cdn.gateio.im/webp-social/moments-8b4186b031ffd019332d79000e6442d9.webp(