Nouvelle méthode de phishing pour les portefeuilles mobiles Web3 : phishing modal

Récemment, nous avons découvert une nouvelle technique de phishing ciblant les portefeuilles mobiles Web3, pouvant induire les utilisateurs en erreur pour approuver des transactions malveillantes. Nous avons nommé cette nouvelle technique de phishing "attaque de phishing modal" (Modal Phishing).

Dans cette attaque, les hackers peuvent envoyer des informations falsifiées au portefeuille mobile, se faisant passer pour une DApp légitime, et tromper les utilisateurs en affichant du contenu trompeur dans la fenêtre modale du portefeuille pour les inciter à approuver la transaction. Cette méthode de phishing est largement utilisée. Nous avons communiqué avec les développeurs des composants concernés, qui ont indiqué qu'ils publieraient une nouvelle API de validation pour réduire les risques.

Qu'est-ce qu'une attaque de phishing modal ?

Dans notre recherche sur la sécurité des portefeuilles mobiles, nous avons remarqué que certains éléments d'interface utilisateur de Web3 portefeuille ( UI ) peuvent être contrôlés par des attaquants pour des attaques de phishing. Nous avons nommé cette technique de phishing "phishing modal", car les attaquants ciblent principalement les fenêtres modales des portefeuilles cryptographiques.

Une fenêtre modale est un élément d'interface utilisateur couramment utilisé dans les applications mobiles, généralement affiché en haut de la fenêtre principale. Ce type de conception est souvent utilisé pour faciliter aux utilisateurs l'exécution d'actions rapides, telles que l'approbation ou le refus des demandes de transaction du portefeuille Web3. La conception modale typique sur un portefeuille Web3 fournit généralement les informations de transaction nécessaires pour que les utilisateurs puissent les vérifier, ainsi que les boutons pour approuver ou refuser la demande.

Cependant, ces éléments d'interface utilisateur peuvent être manipulés par des attaquants pour réaliser des attaques de phishing modal. Les attaquants peuvent modifier les détails de la transaction, déguiser la demande de transaction en une mise à jour de sécurité provenant d'une source de confiance, etc., pour inciter les utilisateurs à approuver.

Cas d'attaque typiques

Cas 1 : Phishing DApp via Portefeuille Connect

Wallet Connect est un protocole open source populaire qui permet de connecter le portefeuille d'un utilisateur à une DApp via un code QR ou un lien profond. Au cours du processus de connexion, le portefeuille Web3 affichera une fenêtre modale montrant le nom de la DApp, l'URL, l'icône, etc. Cependant, ces informations sont fournies par la DApp, et le portefeuille ne vérifie pas leur authenticité.

Les attaquants peuvent falsifier ces informations pour se faire passer pour des DApps légitimes. Par exemple, un attaquant peut prétendre être Uniswap, connecter le portefeuille MetaMask de l'utilisateur et tromper l'utilisateur en approuvant une transaction malveillante. Pendant le processus de connexion, la fenêtre modale affichée dans le portefeuille présentera des informations apparemment légitimes d'Uniswap, y compris le nom, le site web et l'icône.

La conception des modalités des différents portefeuilles peut varier, mais les attaquants peuvent toujours contrôler ces métadonnées. Cette attaque peut être utilisée pour amener les utilisateurs à croire que la demande de transaction provient d'un DApp légitime.

Cas 2 : Phishing d'informations sur les contrats intelligents via MetaMask

Dans la fenêtre modale d'approbation de transaction de MetaMask, en plus des informations DApp, une chaîne représentant le type de transaction sera affichée, comme "Confirm" ou "Unknown Method". MetaMask lira les octets de signature du contrat intelligent et utilisera le registre des méthodes en chaîne pour interroger le nom de la méthode correspondante.

Les attaquants peuvent tirer parti de ce mécanisme pour créer un contrat intelligent de phishing, qui contient une méthode de paiement nommée "SecurityUpdate". Lorsque MetaMask analyse ce contrat, il présente le terme "SecurityUpdate" à l'utilisateur dans la modalité d'approbation.

En combinant d'autres éléments d'interface utilisateur contrôlables, un attaquant peut créer une demande de transaction très convaincante, la déguisant en demande de "Mise à jour de sécurité" provenant de "MetaMask", incitant l'utilisateur à approuver.

Résumé

Les attaques de phishing modales révèlent des risques potentiels dans les composants UI des portefeuilles Web3. La cause fondamentale de cette attaque est que l'application de portefeuille ne parvient pas à valider adéquatement la légitimité des éléments UI présentés. Par exemple, le portefeuille fait directement confiance aux métadonnées provenant du SDK Wallet Connect, tandis que le SDK lui-même ne valide pas les métadonnées entrantes.

Pour prévenir de telles attaques, les développeurs de portefeuilles doivent toujours supposer que les données externes ne sont pas fiables, sélectionner avec soin les informations à afficher aux utilisateurs et vérifier la légitimité de ces informations. En même temps, les utilisateurs doivent également rester vigilants face à chaque demande de transaction inconnue afin de garantir la sécurité de leurs actifs.