Web3.0 Carteira nova técnica de Phishing: ataque de phishing modal

Recentemente, uma nova técnica de Phishing foi descoberta, que pode enganar os usuários durante a autenticação de identidade ao conectar-se à aplicação descentralizada (DApp). Nomeamos essa nova técnica de Phishing como "Modal Phishing Attack"(Modal Phishing).

Os atacantes enviam informações falsas para carteiras móveis, fazendo-se passar por DApps legítimos, e exibem conteúdos enganadores na janela modal da carteira, induzindo os usuários a aprovar transações. Esta técnica está a ser amplamente utilizada. Os desenvolvedores relacionados confirmaram que lançarão uma nova API de verificação para reduzir riscos.

O que é um ataque de phishing modal?

Na pesquisa de segurança de carteiras móveis, notamos que certos elementos da interface do usuário (UI) das carteiras de criptomoeda Web3.0 podem ser manipulados por atacantes para realizar phishing. É chamado de phishing modal porque os ataques visam principalmente as janelas modais das carteiras de criptomoeda.

O modal ( ou a janela modal ) são elementos de UI comuns em aplicações móveis, normalmente exibidos no topo da janela principal, usados para operações rápidas, como aprovar/rejeitar pedidos de transação de carteiras Web3.0. O design típico de modal de carteira Web3.0 geralmente fornece detalhes da transação e botões de aprovar/rejeitar.

No entanto, esses elementos de UI podem ser controlados por atacantes para realizar ataques de phishing modal. Os atacantes podem alterar os detalhes da transação, disfarçando o pedido como uma atualização de segurança de uma fonte confiável, levando os usuários a aprovar.

Casos Típicos

Caso 1: Ataque de phishing em DApp via Wallet Connect

Wallet Connect é um protocolo de código aberto popular que permite conectar carteiras de usuários a DApps através de códigos QR ou links profundos. Durante o processo de emparelhamento, a carteira exibirá uma janela modal mostrando o nome, o URL, o ícone e outras informações do DApp.

No entanto, essas informações são fornecidas pelo DApp, e a Carteira não verifica sua veracidade. Os atacantes podem se passar por DApps conhecidos, enganando os usuários para se conectarem e aprovarem transações.

O design modal de diferentes carteiras pode variar, mas os atacantes sempre podem controlar as metainformações. Os atacantes podem criar DApps falsos, fazendo-se passar por aplicações conhecidas na modal de aprovação de transações.

Caso 2: Phishing de informações de contrato inteligente através do MetaMask

Na janela de aprovação de transação do MetaMask, além das informações do DApp, também será exibido o tipo de transação, como "Confirmar" ou "Método Desconhecido". Este elemento de interface é obtido ao ler os bytes de assinatura do contrato inteligente e consultar o registro de métodos na blockchain.

Os atacantes podem explorar este mecanismo para criar contratos inteligentes de phishing com nomes de métodos enganosos. Por exemplo, registrar o nome do método como "SecurityUpdate" para fazer com que o pedido de transação pareça ser uma atualização de segurança da MetaMask.

Sugestões de Prevenção

1. Os desenvolvedores de carteiras devem sempre supor que os dados externos não são confiáveis, escolher cuidadosamente as informações a serem exibidas aos usuários e verificar sua legitimidade.

2. O protocolo Wallet Connect pode considerar a validação prévia da validade e legalidade das informações do DApp.

3. A aplicação da Carteira deve monitorizar e filtrar palavras que possam ser utilizadas em ataques de Phishing.

4. Os usuários devem estar atentos a cada solicitação de transação desconhecida e verificar cuidadosamente os detalhes da transação.

Os ataques de phishing modal revelam potenciais vulnerabilidades de segurança no design da interface do utilizador das carteiras Web3.0. Tanto os desenvolvedores como os utilizadores devem estar atentos e trabalhar juntos para manter a segurança do ecossistema Web3.