تهديدات الأمان الجديدة لمحفظة Web3 المحمولة: هجمات الصيد النمطي
مؤخراً، اكتشف باحثو الأمن تقنية جديدة للاحتيال عبر الإنترنت تستهدف المحافظ المحمولة في Web3، تُعرف باسم "هجوم التصيد المودالي" (Modal Phishing). تستفيد هذه الطريقة من عناصر واجهة المستخدم للنوافذ المودالية الشائعة في تطبيقات المحافظ المحمولة، من خلال عرض معلومات مضللة لخداع المستخدمين للموافقة على معاملات خبيثة.
مبدأ هجمات الصيد الاحتيالي النموذجي
تستهدف هجمات الصيد الاحتيالي النمطي بشكل أساسي نوافذ النماذج المستخدمة لتأكيد المعاملات في تطبيقات المحفظة للعملات المشفرة. يمكن للمهاجمين التلاعب ببعض عناصر واجهة المستخدم في هذه النوافذ لجعلها تعرض معلومات زائفة أو مضللة، مما يخدع المستخدمين للموافقة على معاملات خبيثة.
تستفيد هذه الطريقة الهجومية بشكل أساسي من ثغرتين:
هجوم التصيد على DApp عبر بروتوكول Wallet Connect: يمكن للمهاجم التحكم في معلومات DApp في طلب الاتصال، مثل الاسم، الأيقونة، وما إلى ذلك، مما يسمح لتطبيقات التصيد بالتظاهر بأنها DApp شرعية.
معلومات الصيد الاحتيالي لعقد ذكي: بعض تطبيقات المحفظة ستظهر أسماء وظائف العقد الذكي في نافذة نموذجية، يمكن للمهاجمين تسجيل أسماء وظائف مضللة لخداع المستخدمين.
تحليل حالات الهجوم
صيد DApp
أظهر الباحثون كيفية إنشاء تطبيق DApp مزيف يدعي أنه من التطبيقات المعروفة مثل Uniswap أو Metamask. عندما يحاول المستخدمون الاتصال بالمحفظة، تظهر نافذة منبثقة معلومات التطبيق التي تبدو شرعية، بما في ذلك الاسم، وعنوان الموقع، والشعار. قد يؤدي ذلك إلى خداع المستخدمين للاعتقاد بأنهم يتفاعلون مع DApp حقيقي.
معلومات عقد ذكي احتيال
كمثال على محفظة متنقلة معروفة، يمكن للمهاجم إنشاء عقد ذكي احتيالي وتسجيل اسم دالته ك"SecurityUpdate". عندما يتلقى المستخدم طلب المعاملة، ستظهر نافذة منبثقة هذا الاسم المضلل، مما يجعل المعاملة تبدو وكأنها تأتي من تحديث أمان تطبيق المحفظة نفسه.
نصائح الأمان
لتجنب هجمات التصيد الاحتيالي عبر النماذج، اقترح الباحثون الاقتراحات التالية:
يجب على مطوري تطبيقات المحفظة دائمًا التحقق من شرعية البيانات الواردة من الخارج، وعدم الثقة بها أو عرض هذه المعلومات بشكل أعمى.
يجب أن يأخذ بروتوكول Wallet Connect في الاعتبار إضافة آلية للتحقق من معلومات DApp.
يجب على تطبيق المحفظة تصفية الكلمات الحساسة التي قد تستخدم في الصيد الاحتيالي.
يجب على المستخدمين أن يكونوا حذرين من كل طلبات المعاملات غير المعروفة والتحقق بعناية من تفاصيل المعاملة.
بشكل عام، تكشف هجمات التصيد الاحتيالي النماذج عن المخاطر الأمنية المحتملة في تصميم واجهة المستخدم والتحقق من المعلومات في محافظ الويب 3 المحمولة. مع الكشف عن هذه الأنواع من أساليب الهجوم، من المتوقع أن تتبنى الصناعة تدابير أمنية أكثر صرامة لرفع مستوى حماية أصول المستخدمين.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
تسجيلات الإعجاب 11
أعجبني
11
8
مشاركة
تعليق
0/400
CryptoSurvivor
· منذ 2 س
مرة أخرى هي حيل البلوكتشين القديمة....
شاهد النسخة الأصليةرد0
StableBoi
· 07-08 10:08
المحفظة要保管好咯
شاهد النسخة الأصليةرد0
MentalWealthHarvester
· 07-07 17:00
اجمع المال اجمع المال، بسرعة Rug Pull
شاهد النسخة الأصليةرد0
MoonBoi42
· 07-07 16:57
لقد بدأ مرة أخرى في التظاهر، أي عصر هذا؟
شاهد النسخة الأصليةرد0
CryptoPhoenix
· 07-07 16:57
الدموع والدماء في السعي، فقط من أجل الحصول على قلب المحارب... قتال، انتبه لسلامتك
هجوم الصيد الخبيث المتعلق بالنماذج: تهديد أمني جديد تواجهه المحفظة المتنقلة في Web3
تهديدات الأمان الجديدة لمحفظة Web3 المحمولة: هجمات الصيد النمطي
مؤخراً، اكتشف باحثو الأمن تقنية جديدة للاحتيال عبر الإنترنت تستهدف المحافظ المحمولة في Web3، تُعرف باسم "هجوم التصيد المودالي" (Modal Phishing). تستفيد هذه الطريقة من عناصر واجهة المستخدم للنوافذ المودالية الشائعة في تطبيقات المحافظ المحمولة، من خلال عرض معلومات مضللة لخداع المستخدمين للموافقة على معاملات خبيثة.
مبدأ هجمات الصيد الاحتيالي النموذجي
تستهدف هجمات الصيد الاحتيالي النمطي بشكل أساسي نوافذ النماذج المستخدمة لتأكيد المعاملات في تطبيقات المحفظة للعملات المشفرة. يمكن للمهاجمين التلاعب ببعض عناصر واجهة المستخدم في هذه النوافذ لجعلها تعرض معلومات زائفة أو مضللة، مما يخدع المستخدمين للموافقة على معاملات خبيثة.
تستفيد هذه الطريقة الهجومية بشكل أساسي من ثغرتين:
هجوم التصيد على DApp عبر بروتوكول Wallet Connect: يمكن للمهاجم التحكم في معلومات DApp في طلب الاتصال، مثل الاسم، الأيقونة، وما إلى ذلك، مما يسمح لتطبيقات التصيد بالتظاهر بأنها DApp شرعية.
معلومات الصيد الاحتيالي لعقد ذكي: بعض تطبيقات المحفظة ستظهر أسماء وظائف العقد الذكي في نافذة نموذجية، يمكن للمهاجمين تسجيل أسماء وظائف مضللة لخداع المستخدمين.
تحليل حالات الهجوم
صيد DApp
أظهر الباحثون كيفية إنشاء تطبيق DApp مزيف يدعي أنه من التطبيقات المعروفة مثل Uniswap أو Metamask. عندما يحاول المستخدمون الاتصال بالمحفظة، تظهر نافذة منبثقة معلومات التطبيق التي تبدو شرعية، بما في ذلك الاسم، وعنوان الموقع، والشعار. قد يؤدي ذلك إلى خداع المستخدمين للاعتقاد بأنهم يتفاعلون مع DApp حقيقي.
معلومات عقد ذكي احتيال
كمثال على محفظة متنقلة معروفة، يمكن للمهاجم إنشاء عقد ذكي احتيالي وتسجيل اسم دالته ك"SecurityUpdate". عندما يتلقى المستخدم طلب المعاملة، ستظهر نافذة منبثقة هذا الاسم المضلل، مما يجعل المعاملة تبدو وكأنها تأتي من تحديث أمان تطبيق المحفظة نفسه.
نصائح الأمان
لتجنب هجمات التصيد الاحتيالي عبر النماذج، اقترح الباحثون الاقتراحات التالية:
يجب على مطوري تطبيقات المحفظة دائمًا التحقق من شرعية البيانات الواردة من الخارج، وعدم الثقة بها أو عرض هذه المعلومات بشكل أعمى.
يجب أن يأخذ بروتوكول Wallet Connect في الاعتبار إضافة آلية للتحقق من معلومات DApp.
يجب على تطبيق المحفظة تصفية الكلمات الحساسة التي قد تستخدم في الصيد الاحتيالي.
يجب على المستخدمين أن يكونوا حذرين من كل طلبات المعاملات غير المعروفة والتحقق بعناية من تفاصيل المعاملة.
بشكل عام، تكشف هجمات التصيد الاحتيالي النماذج عن المخاطر الأمنية المحتملة في تصميم واجهة المستخدم والتحقق من المعلومات في محافظ الويب 3 المحمولة. مع الكشف عن هذه الأنواع من أساليب الهجوم، من المتوقع أن تتبنى الصناعة تدابير أمنية أكثر صرامة لرفع مستوى حماية أصول المستخدمين.