Ví tiền di động Web3 đối mặt với mối đe dọa lừa đảo mới: Tấn công lừa đảo mô hình
Gần đây, một loại kỹ thuật lừa đảo mới đã được phát hiện, có thể khiến người dùng đưa ra quyết định sai lầm khi kết nối với ứng dụng phi tập trung (DApp). Cuộc tấn công mới này được đặt tên là "tấn công lừa đảo theo mô hình" (Modal Phishing).
Kẻ tấn công đã gửi thông tin giả mạo đến Ví tiền di động, giả mạo DApp hợp pháp và hiển thị nội dung gây hiểu lầm trong cửa sổ mô-đun của Ví tiền, khiến người dùng phê duyệt giao dịch. Chiến thuật này hiện đã được sử dụng rộng rãi. Các nhà phát triển thành phần liên quan cho biết sẽ ra mắt API xác thực mới để giảm thiểu rủi ro.
Nguyên lý của tấn công lừa đảo mô hình
Trong nghiên cứu an ninh về Ví tiền di động, các nhà nghiên cứu phát hiện ra rằng một số yếu tố giao diện người dùng của ví Web3 có thể bị kẻ tấn công kiểm soát, từ đó thực hiện Lừa đảo. Được gọi là "lừa đảo mô hình", vì cuộc tấn công chủ yếu nhắm vào cửa sổ mô hình của Ví tiền tiền điện tử.
Cửa sổ mô-đun là một phần tử UI phổ biến trong ứng dụng di động, thường hiển thị ở phía trên cùng của cửa sổ chính, dùng để thực hiện các thao tác nhanh như chấp thuận/từ chối yêu cầu giao dịch. Thiết kế cửa sổ mô-đun của ví Web3 điển hình sẽ cung cấp thông tin cần thiết để người dùng kiểm tra, cùng với các nút chấp thuận hoặc từ chối.
Tuy nhiên, các yếu tố UI này có thể bị kẻ tấn công thao túng. Ví dụ, kẻ tấn công có thể thay đổi chi tiết giao dịch, ngụy trang yêu cầu thành "cập nhật bảo mật" từ "Metamask", khiến người dùng chấp thuận.
Hai trường hợp tấn công điển hình
1. Thực hiện tấn công lừa đảo DApp qua Wallet Connect
Giao thức Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3 sẽ hiển thị một cửa sổ mô-đun, trình bày thông tin meta của yêu cầu đến, bao gồm tên DApp, địa chỉ web, biểu tượng và mô tả.
Vấn đề là, những thông tin này được cung cấp bởi DApp, Ví tiền không xác minh tính xác thực của chúng. Kẻ tấn công có thể giả mạo DApp hợp pháp, lừa đảo người dùng kết nối và phê duyệt giao dịch.
2. Thông tin lừa đảo hợp đồng thông minh qua MetaMask
MetaMask sẽ hiển thị loại giao dịch trong chế độ phê duyệt, chẳng hạn như "Xác nhận" hoặc "Phương thức không xác định". Yếu tố giao diện người dùng này được lấy bằng cách đọc các byte chữ ký của hợp đồng thông minh và truy vấn bảng đăng ký phương thức trên chuỗi.
Kẻ tấn công có thể tạo ra hợp đồng thông minh lừa đảo, đăng ký chữ ký phương thức dưới dạng chuỗi gây hiểu lầm, chẳng hạn như "SecurityUpdate". Khi MetaMask phân tích hợp đồng này, nó sẽ hiển thị tên gây hiểu lầm này cho người dùng trong chế độ phê duyệt.
Đề xuất phòng ngừa
Các nhà phát triển Ví tiền nên luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy, cẩn thận lựa chọn thông tin hiển thị cho người dùng và xác minh tính hợp pháp của nó.
Giao thức Wallet Connect có thể xem xét xác minh trước tính hợp lệ và hợp pháp của thông tin DApp.
Ứng dụng Ví tiền nên giám sát nội dung hiển thị cho người dùng, lọc những từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
Người dùng nên cảnh giác với từng yêu cầu giao dịch không rõ ràng, kiểm tra kỹ lưỡng chi tiết giao dịch.
Tóm lại, nguyên nhân cơ bản của cuộc tấn công Modal Phishing là do ứng dụng Ví tiền không xác thực tính hợp pháp của các yếu tố UI được trình bày một cách triệt để. Các nhà phát triển và người dùng cần nâng cao cảnh giác, cùng nhau bảo vệ an toàn cho hệ sinh thái Web3.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 thích
Phần thưởng
15
4
Chia sẻ
Bình luận
0/400
PensionDestroyer
· 7giờ trước
Cái này mà còn muốn bẫy tôi coin? Không có cửa đâu.
Xem bản gốcTrả lời0
MondayYoloFridayCry
· 7giờ trước
Ôi, lại có hình thức lừa đảo mới rồi, ví tiền phải giữ chặt lại.
Xem bản gốcTrả lời0
PanicSeller69
· 7giờ trước
Lại tối tăm rồi, thật sự là ngày nào cũng bị chơi cho đồ ngốc.
Ví tiền di động Web3 gặp phải tấn công lừa đảo mô hình, mối đe dọa mạng mới cần được phòng ngừa.
Ví tiền di động Web3 đối mặt với mối đe dọa lừa đảo mới: Tấn công lừa đảo mô hình
Gần đây, một loại kỹ thuật lừa đảo mới đã được phát hiện, có thể khiến người dùng đưa ra quyết định sai lầm khi kết nối với ứng dụng phi tập trung (DApp). Cuộc tấn công mới này được đặt tên là "tấn công lừa đảo theo mô hình" (Modal Phishing).
Kẻ tấn công đã gửi thông tin giả mạo đến Ví tiền di động, giả mạo DApp hợp pháp và hiển thị nội dung gây hiểu lầm trong cửa sổ mô-đun của Ví tiền, khiến người dùng phê duyệt giao dịch. Chiến thuật này hiện đã được sử dụng rộng rãi. Các nhà phát triển thành phần liên quan cho biết sẽ ra mắt API xác thực mới để giảm thiểu rủi ro.
Nguyên lý của tấn công lừa đảo mô hình
Trong nghiên cứu an ninh về Ví tiền di động, các nhà nghiên cứu phát hiện ra rằng một số yếu tố giao diện người dùng của ví Web3 có thể bị kẻ tấn công kiểm soát, từ đó thực hiện Lừa đảo. Được gọi là "lừa đảo mô hình", vì cuộc tấn công chủ yếu nhắm vào cửa sổ mô hình của Ví tiền tiền điện tử.
Cửa sổ mô-đun là một phần tử UI phổ biến trong ứng dụng di động, thường hiển thị ở phía trên cùng của cửa sổ chính, dùng để thực hiện các thao tác nhanh như chấp thuận/từ chối yêu cầu giao dịch. Thiết kế cửa sổ mô-đun của ví Web3 điển hình sẽ cung cấp thông tin cần thiết để người dùng kiểm tra, cùng với các nút chấp thuận hoặc từ chối.
Tuy nhiên, các yếu tố UI này có thể bị kẻ tấn công thao túng. Ví dụ, kẻ tấn công có thể thay đổi chi tiết giao dịch, ngụy trang yêu cầu thành "cập nhật bảo mật" từ "Metamask", khiến người dùng chấp thuận.
Hai trường hợp tấn công điển hình
1. Thực hiện tấn công lừa đảo DApp qua Wallet Connect
Giao thức Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3 sẽ hiển thị một cửa sổ mô-đun, trình bày thông tin meta của yêu cầu đến, bao gồm tên DApp, địa chỉ web, biểu tượng và mô tả.
Vấn đề là, những thông tin này được cung cấp bởi DApp, Ví tiền không xác minh tính xác thực của chúng. Kẻ tấn công có thể giả mạo DApp hợp pháp, lừa đảo người dùng kết nối và phê duyệt giao dịch.
2. Thông tin lừa đảo hợp đồng thông minh qua MetaMask
MetaMask sẽ hiển thị loại giao dịch trong chế độ phê duyệt, chẳng hạn như "Xác nhận" hoặc "Phương thức không xác định". Yếu tố giao diện người dùng này được lấy bằng cách đọc các byte chữ ký của hợp đồng thông minh và truy vấn bảng đăng ký phương thức trên chuỗi.
Kẻ tấn công có thể tạo ra hợp đồng thông minh lừa đảo, đăng ký chữ ký phương thức dưới dạng chuỗi gây hiểu lầm, chẳng hạn như "SecurityUpdate". Khi MetaMask phân tích hợp đồng này, nó sẽ hiển thị tên gây hiểu lầm này cho người dùng trong chế độ phê duyệt.
Đề xuất phòng ngừa
Các nhà phát triển Ví tiền nên luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy, cẩn thận lựa chọn thông tin hiển thị cho người dùng và xác minh tính hợp pháp của nó.
Giao thức Wallet Connect có thể xem xét xác minh trước tính hợp lệ và hợp pháp của thông tin DApp.
Ứng dụng Ví tiền nên giám sát nội dung hiển thị cho người dùng, lọc những từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
Người dùng nên cảnh giác với từng yêu cầu giao dịch không rõ ràng, kiểm tra kỹ lưỡng chi tiết giao dịch.
Tóm lại, nguyên nhân cơ bản của cuộc tấn công Modal Phishing là do ứng dụng Ví tiền không xác thực tính hợp pháp của các yếu tố UI được trình bày một cách triệt để. Các nhà phát triển và người dùng cần nâng cao cảnh giác, cùng nhau bảo vệ an toàn cho hệ sinh thái Web3.