Web3 Ví tiền mới trò lừa bịp: Tấn công lừa đảo mô hình
Gần đây, chúng tôi đã phát hiện một loại kỹ thuật lừa đảo mới nhắm vào người dùng ví tiền di động Web3, chủ yếu thực hiện tấn công bằng cách đánh lừa người dùng về nhận thức về danh tính của ứng dụng phi tập trung (DApp). Chúng tôi đã đặt tên cho kỹ thuật lừa đảo mới này là "tấn công lừa đảo theo mô hình" (Modal Phishing).
Trong cuộc tấn công này, kẻ xấu có thể gửi thông tin giả mạo đến ví tiền di động, mạo danh DApp hợp pháp. Bằng cách hiển thị thông tin gây hiểu lầm trong cửa sổ mô-đun của ví tiền, họ lừa gạt người dùng phê duyệt giao dịch nguy hiểm. Hiện tại, kỹ thuật lừa đảo này đã được sử dụng rộng rãi. Chúng tôi đã liên hệ với các nhà phát triển thành phần liên quan, họ đã cam kết sẽ ra mắt API xác thực mới để giảm thiểu rủi ro.
Nguyên lý của cuộc tấn công lừa đảo mô hình
Trong nghiên cứu về bảo mật ví di động, chúng tôi nhận thấy rằng một số yếu tố giao diện người dùng Web3 ví có thể bị kẻ tấn công kiểm soát, từ đó thực hiện trò lừa bịp. Được gọi là "lừa đảo theo mô-đun", vì kẻ tấn công chủ yếu nhắm mục tiêu vào cửa sổ mô-đun của ví tiền điện tử.
Cửa sổ mô-đun là một yếu tố UI thường được sử dụng trong ứng dụng di động, thường hiển thị ở trên cùng của cửa sổ chính, nhằm giúp người dùng thực hiện các thao tác nhanh chóng, chẳng hạn như chấp thuận/từ chối yêu cầu giao dịch của Ví tiền Web3. Thiết kế mô-đun Ví tiền Web3 điển hình sẽ cung cấp thông tin giao dịch cần thiết để người dùng kiểm tra, cùng với nút chấp thuận hoặc từ chối.
Tuy nhiên, các yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát, được sử dụng để thực hiện các cuộc tấn công lừa đảo theo mô hình. Kẻ tấn công có thể thay đổi chi tiết giao dịch, ngụy trang yêu cầu giao dịch thành "cập nhật bảo mật" từ nguồn đáng tin cậy, dụ dỗ người dùng chấp thuận.
Các trường hợp tấn công điển hình
( 1. Tấn công lừa đảo DApp thông qua Wallet Connect
Wallet Connect là một giao thức mã nguồn mở rất phổ biến, được sử dụng để kết nối ví người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3 sẽ hiển thị một cửa sổ mô-đun, trình bày thông tin như tên DApp, địa chỉ trang web, biểu tượng và mô tả.
Tuy nhiên, thông tin này được cung cấp bởi DApp, Ví tiền không xác minh tính xác thực của nó. Kẻ tấn công có thể giả mạo DApp nổi tiếng, lừa người dùng kết nối với nó. Trong quá trình ghép nối, chỉ cần nạn nhân muốn thực hiện giao dịch trên trang web giả mạo, kẻ tấn công có thể thay thế các tham số yêu cầu giao dịch để đánh cắp tiền.
![Khám phá trò lừa bịp mới trong ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp###
( 2. Lừa đảo thông tin hợp đồng thông minh thông qua MetaMask
Trong cửa sổ mô-đun phê duyệt giao dịch của MetaMask, bên cạnh thông tin DApp, còn hiển thị một chuỗi biểu thị loại giao dịch. Phần tử UI này được tạo ra bằng cách đọc byte chữ ký của hợp đồng thông minh và tra cứu bảng đăng ký phương thức trên chuỗi.
Kẻ tấn công có thể lợi dụng cơ chế này để tạo ra một hợp đồng thông minh giả mạo và đăng ký tên phương thức của nó là "SecurityUpdate" và các chuỗi gây hiểu lầm khác. Khi người dùng chấp thuận giao dịch, MetaMask sẽ hiển thị tên phương thức dường như hợp pháp này, tăng độ tin cậy của cuộc tấn công.
![Khám phá trò lừa bịp mới của ví tiền di động Web3.0: Tấn công lừa đảo theo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp###
Lời khuyên phòng ngừa
Các nhà phát triển ứng dụng ví tiền nên luôn giả định rằng dữ liệu đầu vào từ bên ngoài là không đáng tin cậy, cẩn thận lựa chọn những thông tin nào sẽ hiển thị cho người dùng và xác minh tính hợp pháp của những thông tin đó.
Các giao thức như Wallet Connect nên xác minh tính hợp lệ và hợp pháp của thông tin DApp trước.
Ứng dụng Ví tiền nên thực hiện các biện pháp phòng ngừa, lọc các từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
Người dùng nên cảnh giác với mỗi yêu cầu giao dịch chưa biết, kiểm tra cẩn thận chi tiết giao dịch, không nên dễ dàng tin vào thông tin hiển thị trong cửa sổ mô hình.
Nói chung, các cuộc tấn công lừa đảo mô hình lợi dụng sự tin tưởng của người dùng đối với giao diện người dùng ví tiền, bằng cách thao tác các yếu tố giao diện có thể kiểm soát để tạo ra các bẫy lừa đảo thuyết phục. Nâng cao nhận thức về an ninh và tăng cường cơ chế xác minh là chìa khóa để phòng ngừa các cuộc tấn công như vậy.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
7 thích
Phần thưởng
7
7
Đăng lại
Chia sẻ
Bình luận
0/400
SnapshotLaborer
· 8giờ trước
Cuộn lại rồi, người câu cá cũng chơi mô hình rồi.
Xem bản gốcTrả lời0
FloorSweeper
· 15giờ trước
真 bẫy 摊牌了 này就薅 một把
Xem bản gốcTrả lời0
GateUser-1a2ed0b9
· 23giờ trước
Thật chán... lại có chiêu trò câu cá mới rồi~
Xem bản gốcTrả lời0
PaperHandsCriminal
· 23giờ trước
Lại bị dính bẫy rồi, đi thôi đi thôi.
Xem bản gốcTrả lời0
NeverVoteOnDAO
· 23giờ trước
Một bẫy mới, thời gian ngắn nhanh chóng chạy.
Xem bản gốcTrả lời0
MidnightTrader
· 23giờ trước
又被 chơi đùa với mọi người过 đồ ngốc了
Xem bản gốcTrả lời0
DogeBachelor
· 23giờ trước
Ê, tôi chỉ tin vào thế giới tiền điện tử, không có sự thật.
Tấn công lừa đảo mô hình: Mối đe dọa an ninh mới cho người dùng Ví tiền di động Web3
Web3 Ví tiền mới trò lừa bịp: Tấn công lừa đảo mô hình
Gần đây, chúng tôi đã phát hiện một loại kỹ thuật lừa đảo mới nhắm vào người dùng ví tiền di động Web3, chủ yếu thực hiện tấn công bằng cách đánh lừa người dùng về nhận thức về danh tính của ứng dụng phi tập trung (DApp). Chúng tôi đã đặt tên cho kỹ thuật lừa đảo mới này là "tấn công lừa đảo theo mô hình" (Modal Phishing).
Trong cuộc tấn công này, kẻ xấu có thể gửi thông tin giả mạo đến ví tiền di động, mạo danh DApp hợp pháp. Bằng cách hiển thị thông tin gây hiểu lầm trong cửa sổ mô-đun của ví tiền, họ lừa gạt người dùng phê duyệt giao dịch nguy hiểm. Hiện tại, kỹ thuật lừa đảo này đã được sử dụng rộng rãi. Chúng tôi đã liên hệ với các nhà phát triển thành phần liên quan, họ đã cam kết sẽ ra mắt API xác thực mới để giảm thiểu rủi ro.
Nguyên lý của cuộc tấn công lừa đảo mô hình
Trong nghiên cứu về bảo mật ví di động, chúng tôi nhận thấy rằng một số yếu tố giao diện người dùng Web3 ví có thể bị kẻ tấn công kiểm soát, từ đó thực hiện trò lừa bịp. Được gọi là "lừa đảo theo mô-đun", vì kẻ tấn công chủ yếu nhắm mục tiêu vào cửa sổ mô-đun của ví tiền điện tử.
Cửa sổ mô-đun là một yếu tố UI thường được sử dụng trong ứng dụng di động, thường hiển thị ở trên cùng của cửa sổ chính, nhằm giúp người dùng thực hiện các thao tác nhanh chóng, chẳng hạn như chấp thuận/từ chối yêu cầu giao dịch của Ví tiền Web3. Thiết kế mô-đun Ví tiền Web3 điển hình sẽ cung cấp thông tin giao dịch cần thiết để người dùng kiểm tra, cùng với nút chấp thuận hoặc từ chối.
Tuy nhiên, các yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát, được sử dụng để thực hiện các cuộc tấn công lừa đảo theo mô hình. Kẻ tấn công có thể thay đổi chi tiết giao dịch, ngụy trang yêu cầu giao dịch thành "cập nhật bảo mật" từ nguồn đáng tin cậy, dụ dỗ người dùng chấp thuận.
Các trường hợp tấn công điển hình
( 1. Tấn công lừa đảo DApp thông qua Wallet Connect
Wallet Connect là một giao thức mã nguồn mở rất phổ biến, được sử dụng để kết nối ví người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối, ví Web3 sẽ hiển thị một cửa sổ mô-đun, trình bày thông tin như tên DApp, địa chỉ trang web, biểu tượng và mô tả.
Tuy nhiên, thông tin này được cung cấp bởi DApp, Ví tiền không xác minh tính xác thực của nó. Kẻ tấn công có thể giả mạo DApp nổi tiếng, lừa người dùng kết nối với nó. Trong quá trình ghép nối, chỉ cần nạn nhân muốn thực hiện giao dịch trên trang web giả mạo, kẻ tấn công có thể thay thế các tham số yêu cầu giao dịch để đánh cắp tiền.
![Khám phá trò lừa bịp mới trong ví tiền di động Web3.0: Tấn công lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-90000878c07a1333bd873500154af36d.webp###
( 2. Lừa đảo thông tin hợp đồng thông minh thông qua MetaMask
Trong cửa sổ mô-đun phê duyệt giao dịch của MetaMask, bên cạnh thông tin DApp, còn hiển thị một chuỗi biểu thị loại giao dịch. Phần tử UI này được tạo ra bằng cách đọc byte chữ ký của hợp đồng thông minh và tra cứu bảng đăng ký phương thức trên chuỗi.
Kẻ tấn công có thể lợi dụng cơ chế này để tạo ra một hợp đồng thông minh giả mạo và đăng ký tên phương thức của nó là "SecurityUpdate" và các chuỗi gây hiểu lầm khác. Khi người dùng chấp thuận giao dịch, MetaMask sẽ hiển thị tên phương thức dường như hợp pháp này, tăng độ tin cậy của cuộc tấn công.
![Khám phá trò lừa bịp mới của ví tiền di động Web3.0: Tấn công lừa đảo theo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d.webp###
Lời khuyên phòng ngừa
Các nhà phát triển ứng dụng ví tiền nên luôn giả định rằng dữ liệu đầu vào từ bên ngoài là không đáng tin cậy, cẩn thận lựa chọn những thông tin nào sẽ hiển thị cho người dùng và xác minh tính hợp pháp của những thông tin đó.
Các giao thức như Wallet Connect nên xác minh tính hợp lệ và hợp pháp của thông tin DApp trước.
Ứng dụng Ví tiền nên thực hiện các biện pháp phòng ngừa, lọc các từ có thể được sử dụng cho các cuộc tấn công lừa đảo.
Người dùng nên cảnh giác với mỗi yêu cầu giao dịch chưa biết, kiểm tra cẩn thận chi tiết giao dịch, không nên dễ dàng tin vào thông tin hiển thị trong cửa sổ mô hình.
Nói chung, các cuộc tấn công lừa đảo mô hình lợi dụng sự tin tưởng của người dùng đối với giao diện người dùng ví tiền, bằng cách thao tác các yếu tố giao diện có thể kiểm soát để tạo ra các bẫy lừa đảo thuyết phục. Nâng cao nhận thức về an ninh và tăng cường cơ chế xác minh là chìa khóa để phòng ngừa các cuộc tấn công như vậy.