Revelación de un nuevo método de phishing en billeteras móviles Web3: phishing modal

Recientemente, hemos descubierto una nueva técnica de phishing dirigida a billeteras móviles Web3, que puede engañar a los usuarios para que aprueben transacciones maliciosas. Hemos nombrado a esta nueva técnica de phishing como "ataque de phishing modal"(Modal Phishing).

En este tipo de ataque, los hackers pueden enviar información falsificada a la Billetera móvil, haciéndose pasar por DApps legítimos, y engañar a los usuarios para que aprueben transacciones mostrando contenido engañoso en la ventana modal de la billetera. Esta técnica de phishing se está utilizando ampliamente. Hemos hablado con los desarrolladores de los componentes relevantes, quienes han indicado que lanzarán una nueva API de verificación para reducir el riesgo.

¿Qué es un ataque de phishing modal?

En la investigación sobre la seguridad de las billeteras móviles, notamos que ciertos elementos de la interfaz de usuario de las billeteras Web3 (UI) pueden ser controlados por atacantes para llevar a cabo ataques de phishing. Llamamos a esta técnica de phishing "phishing modal", ya que los atacantes se dirigen principalmente a las ventanas modales de las billeteras de criptomonedas.

Las ventanas modales son elementos de UI comúnmente utilizados en aplicaciones móviles, que generalmente se muestran en la parte superior de la ventana principal. Este diseño se utiliza a menudo para facilitar a los usuarios la realización de acciones rápidas, como aprobar/rechazar solicitudes de transacción de billetera Web3. El diseño modal típico en una billetera Web3 suele proporcionar la información necesaria sobre la transacción para que los usuarios la revisen, así como los botones para aprobar o rechazar la solicitud.

Sin embargo, estos elementos de la interfaz de usuario pueden ser manipulados por atacantes para llevar a cabo ataques de phishing modal. Los atacantes pueden modificar los detalles de la transacción, disfrazar la solicitud de transacción como una actualización de seguridad de una fuente confiable, etc., para inducir a los usuarios a aprobar.

Casos de ataque típicos

Caso 1: Phishing de DApp a través de Billetera Connect

Wallet Connect es un protocolo de código abierto popular que se utiliza para conectar la billetera del usuario con DApp a través de códigos QR o enlaces profundos. Durante el proceso de conexión, la billetera Web3 mostrará una ventana modal que exhibe el nombre, la URL, el ícono y otra información de la DApp. Sin embargo, esta información es proporcionada por la DApp y la billetera no verifica su veracidad.

Los atacantes pueden falsificar esta información y hacerse pasar por DApps legítimos. Por ejemplo, un atacante puede afirmar que es Uniswap, conectar la billetera MetaMask del usuario y engañar al usuario para que apruebe transacciones maliciosas. Durante el proceso de conexión, la ventana modal que se muestra dentro de la billetera presentará información de Uniswap que parece legítima, incluyendo el nombre, el sitio web y el ícono.

El diseño modal de diferentes billeteras puede ser diferente, pero los atacantes siempre pueden controlar esta metainformación. Este tipo de ataque puede utilizarse para hacer que los usuarios crean que la solicitud de transacción proviene de una DApp legítima.

Caso 2: Phishing de información de contratos inteligentes a través de MetaMask

En la ventana modal de aprobación de transacciones de MetaMask, además de la información de DApp, se mostrará una cadena que indica el tipo de transacción, como "Confirmar" o "Método Desconocido". MetaMask leerá los bytes de firma del contrato inteligente y consultará el registro de métodos en la cadena para obtener el nombre del método correspondiente.

Los atacantes pueden aprovechar este mecanismo para crear un contrato inteligente de phishing que contenga un método de pago llamado "SecurityUpdate". Cuando MetaMask analiza este contrato, presentará la palabra "SecurityUpdate" al usuario en el modal de aprobación.

Combinando otros elementos de UI controlables, el atacante puede crear una solicitud de transacción muy convincente, disfrazándola como una solicitud de "SecurityUpdate" de "MetaMask", induciendo al usuario a aprobar.

Resumen

Los ataques de phishing modal revelan riesgos potenciales en los componentes de la interfaz de usuario de las billeteras Web3. La causa raíz de este ataque es que las aplicaciones de billetera no validan adecuadamente la legitimidad de los elementos de la interfaz de usuario presentados. Por ejemplo, la billetera confía directamente en los metadatos provenientes del SDK de Wallet Connect, y el propio SDK tampoco valida los metadatos entrantes.

Para prevenir este tipo de ataques, los desarrolladores de la Billetera deben suponer siempre que los datos externos no son confiables, elegir cuidadosamente la información que se muestra a los usuarios y verificar la legitimidad de esta información. Al mismo tiempo, los usuarios también deben mantenerse alerta ante cada solicitud de transacción desconocida para garantizar la seguridad de sus activos.