Веб 3.0 мобільний гаманець нові технології фішингу: модальні атаки

Нещодавно була виявлена нова технологія фішингу, яка може ввести в оману користувачів під час аутентифікації при підключенні до децентралізованих додатків (DApp). Ми назвали цю нову технологію фішингу "модальна фішинг-атака" (Modal Phishing).

Зловмисники надсилають підроблену інформацію до мобільного гаманця, видаючи себе за законний DApp, і відображають оманливий контент у модальному вікні гаманця, спонукаючи користувачів схвалити транзакцію. Ця техніка широко використовується. Відповідні розробники підтвердили, що буде запущено новий API для верифікації, щоб знизити ризики.

Що таке модальний фішинг?

У дослідженні безпеки мобільного гаманця ми звернули увагу на те, що деякі елементи інтерфейсу користувача крипто-гаманців Веб 3.0 (UI) можуть бути маніпульовані зловмисниками для проведення фішингу. Це називається модальним фішингом, оскільки атаки в основному націлені на модальні вікна крипто-гаманців.

Модаль ( або модальне вікно ) є звичайним елементом UI в мобільних додатках, який зазвичай відображається у верхній частині основного вікна, для швидких дій, таких як затвердження/відхилення запиту на транзакцію гаманця Веб 3.0. Типове проектування модалі гаманця Веб 3.0 зазвичай надає деталі транзакції та кнопки затвердження/відхилення.

Однак ці елементи інтерфейсу можуть бути контрольовані зловмисниками для проведення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакцій, маскуючи запити під безпечні оновлення з надійних джерел, спонукаючи користувачів затверджувати їх.

Типові випадки

Приклад 1: Фішинг-атака на DApp через Гаманець Connect

Гаманець Connect - це популярний відкритий протокол, який використовується для підключення гаманця користувача до DApp через QR-код або глибоке посилання. Під час парування гаманець відображає модальне вікно, яке показує назву DApp, веб-сайт, іконку та іншу інформацію.

Однак ця інформація надається DApp, гаманець не перевіряє її достовірність. Зловмисники можуть підробити відомий DApp, щоб спокусити користувачів підключитися та затвердити транзакцію.

Різні моделі дизайну гаманців можуть відрізнятися, але зловмисники завжди можуть контролювати метадані. Зловмисники можуть створювати фальшиві DApp, маскуючись під відомі додатки у модальному вікні затвердження транзакцій.

Приклад 2: Фішинг інформації про смарт-контракти через MetaMask

У модальному вікні підтвердження транзакції MetaMask, крім інформації про DApp, буде відображатися тип транзакції, наприклад, "Confirm" або "Unknown Method". Цей елемент інтерфейсу користувача отримується шляхом читання байтів підпису смарт-контракту та запиту реєстру методів на ланцюгу.

Атакуюча сторона може використовувати цей механізм для створення фішингових смарт-контрактів з оманливими назвами методів. Наприклад, зареєструвати назву методу як "SecurityUpdate", щоб запит на транзакцію виглядав так, ніби він походить від безпеки MetaMask.

Рекомендації щодо запобігання

1. Розробники гаманець повинні завжди припускати, що зовнішні дані ненадійні, ретельно вибирати інформацію, яку показують користувачам, і перевіряти її законність.

2. Протокол Wallet Connect може розглядати можливість попередньої перевірки дійсності та легітимності інформації DApp.

3. Гаманець повинен моніторити та фільтрувати можливі слова, які можуть бути використані для фішинг-атак.

4. Користувачі повинні бути обережними щодо кожного невідомого запиту на транзакцію і ретельно перевіряти деталі транзакції.

Атаки модального фішингу виявляють потенційні загрози безпеці в дизайні UI гаманців Веб 3.0. Розробники та користувачі повинні бути пильними та спільно підтримувати безпеку екосистеми Web3.