كشف أساليب جديدة لهجمات التصيد الاحتيالي على المحفظة المتنقلة Web3: التصيد الاحتيالي النمطي

مؤخراً، اكتشفنا تقنية جديدة للاحتيال الإلكتروني تستهدف المحفظة المحمولة في Web3، يمكن استخدامها لتضليل المستخدمين للموافقة على معاملات خبيثة. أطلقنا على هذه التقنية الجديدة اسم "هجوم الصيد النمطي" (Modal Phishing).

في هذا الهجوم، يمكن للقراصنة إرسال معلومات مزورة إلى المحفظة المتنقلة، متظاهرين بأنهم DApp شرعي، ومن خلال عرض محتوى مضلل في نافذة المحفظة، يخدعون المستخدمين للموافقة على الصفقة. تُستخدم هذه الطريقة في التصيد بشكل واسع. لقد تواصلنا مع مطوري المكونات ذات الصلة، وأفادوا أنهم سيصدرون واجهة برمجة تطبيقات تحقق جديدة لتقليل المخاطر.

ما هو هجوم صيد الأسماك النمطي؟

في دراسة حول أمان المحفظة المتنقلة، لاحظنا أن بعض عناصر واجهة مستخدم (UI) لمحافظ Web3 يمكن أن يتحكم بها المهاجمون لاستخدامها في هجمات التصيد الاحتيالي. أطلقنا على هذه التقنية في التصيد الاحتيالي اسم التصيد الاحتيالي النمطي، لأن المهاجمين يستهدفون بشكل رئيسي نوافذ المحفظة المشفرة النمطية.

النوافذ المنبثقة هي عناصر واجهة مستخدم شائعة الاستخدام في تطبيقات الهاتف المحمول، وعادة ما تظهر في الجزء العلوي من نافذة التطبيق الرئيسية. يتم استخدام هذا التصميم عادةً لتسهيل إجراء العمليات السريعة للمستخدمين، مثل الموافقة/الرفض على طلبات المعاملات في Web3 المحفظة. يقدم التصميم النموذجي للنوافذ المنبثقة على Web3 المحفظة عادةً المعلومات اللازمة حول المعاملة ليتحقق منها المستخدم، بالإضافة إلى أزرار للموافقة أو الرفض على الطلب.

ومع ذلك، يمكن لمهاجمي التحكم في عناصر واجهة المستخدم هذه لإجراء هجمات تصيد احتيالي نموذجية. يمكن للمهاجمين تغيير تفاصيل المعاملات، وتزييف طلبات المعاملات على أنها تحديثات أمان من مصادر موثوقة، وغيرها، لإغراء المستخدمين بالموافقة.

حالات الهجوم النموذجية

حالة 1: صيد DApp من خلال المحفظة

Wallet Connect هو بروتوكول مفتوح المصدر شائع، يُستخدم لربط محفظة المستخدم مع DApp عبر رمز الاستجابة السريعة أو رابط عميق. خلال عملية الاتصال، ستظهر المحفظة Web3 نافذة منبثقة تعرض اسم DApp وعنوانه ورمزه وغيره من المعلومات. ولكن هذه المعلومات مقدمة من DApp، ولا تتحقق المحفظة من صحتها.

يمكن للمهاجمين تزوير هذه المعلومات، وانتحال صفة DApp الشرعي. على سبيل المثال، يمكن للمهاجم أن يدعي أنه Uniswap، ويربط محفظة MetaMask الخاصة بالمستخدم، ويخدع المستخدم للموافقة على معاملات خبيثة. خلال عملية الربط، ستظهر نافذة نمطية في المحفظة تحتوي على معلومات Uniswap التي تبدو شرعية، بما في ذلك الاسم، وعنوان الموقع، والشعار.

قد يختلف تصميم أنماط المحفظة بين المحفظات المختلفة، لكن المهاجمين يمكنهم دائمًا التحكم في هذه المعلومات الوصفية. يمكن استخدام هذا الهجوم لإقناع المستخدمين بأن طلبات المعاملات تأتي من تطبيق لامركزي (DApp) شرعي.

الحالة 2: التصيد لبيانات العقود الذكية عبر MetaMask

في نافذة نموذج الموافقة على المعاملات في MetaMask، بالإضافة إلى معلومات DApp، سيظهر أيضًا سلسلة تمثل نوع المعاملة، مثل "تأكيد" أو "طريقة غير معروفة". سيقوم MetaMask بقراءة بايت توقيع العقد الذكي، وسيستخدم سجل الطرق على السلسلة للاستعلام عن اسم الطريقة المقابل.

يمكن للمهاجمين استغلال هذه الآلية لإنشاء عقد ذكي للتصيد يحتوي على طريقة تحمل اسم "SecurityUpdate" ولها وظيفة الدفع. عندما يقوم MetaMask بتحليل هذا العقد، سيظهر للمستخدم كلمة "SecurityUpdate" في وضع الموافقة.

من خلال دمج عناصر واجهة المستخدم القابلة للتحكم الأخرى، يمكن للمهاجمين إنشاء طلب تداول مقنع للغاية، متظاهرين بأنه طلب "تحديث الأمان" من "MetaMask"، مما يحث المستخدمين على الموافقة.

ملخص

تكشف هجمات الصيد الاحتيالية النمطية عن المخاطر المحتملة في مكونات واجهة مستخدم محفظة Web3. السبب الجذري لهذا الهجوم هو فشل تطبيقات المحفظة في التحقق بشكل كافٍ من شرعية عناصر واجهة المستخدم المعروضة. على سبيل المثال، تثق المحفظة مباشرةً في البيانات الوصفية القادمة من Wallet Connect SDK، بينما لا يتحقق SDK نفسه من بيانات الوصفة الواردة.

لمنع مثل هذه الهجمات، يجب على المطورين المحفظة أن يفترضوا دائمًا أن البيانات الخارجية غير موثوقة، وأن يختاروا بعناية المعلومات المعروضة للمستخدمين، والتحقق من شرعية هذه المعلومات. في الوقت نفسه، يجب على المستخدمين أيضًا أن يكونوا حذرين تجاه كل طلب معاملة غير معروف لضمان أمان أصولهم.