Nouvelle menace de sécurité pour les portefeuilles mobiles Web3 : attaque de phishing modale

Récemment, des chercheurs en sécurité ont découvert une nouvelle technique de phishing ciblant les portefeuilles mobiles Web3, appelée "attaque de phishing modal"(Modal Phishing). Cette méthode d'attaque exploite les éléments UI des fenêtres modales couramment présents dans les applications de portefeuille mobile, en affichant des informations trompeuses pour inciter les utilisateurs à approuver des transactions malveillantes.

Principe de l'attaque par hameçonnage modal

Les attaques de phishing modal ciblent principalement les fenêtres modales utilisées pour la confirmation des transactions dans les applications de portefeuille de cryptomonnaie. Les attaquants peuvent manipuler certains éléments de l'interface utilisateur dans ces fenêtres pour afficher des informations fausses ou trompeuses, trompant ainsi les utilisateurs pour qu'ils approuvent des transactions malveillantes.

Cette méthode d'attaque exploite principalement deux vulnérabilités :

1. Phishing DApp via le protocole Wallet Connect : les attaquants peuvent contrôler les informations DApp dans la requête de connexion, telles que le nom, l'icône, etc., permettant à l'application de phishing de se faire passer pour un DApp légitime.

2. Phishing d'informations sur les contrats intelligents : certaines applications de portefeuille affichent le nom des fonctions du contrat intelligent dans une fenêtre modale, les attaquants peuvent enregistrer des noms de fonction trompeurs pour tromper les utilisateurs.

Analyse des cas d'attaque

Phishing DApp

Des chercheurs ont démontré comment créer un faux DApp prétendant être des applications connues comme Uniswap ou Metamask. Lorsque les utilisateurs essaient de connecter leur portefeuille, une fenêtre modale affiche des informations d'application apparemment légitimes, y compris le nom, l'URL et l'icône. Cela pourrait tromper les utilisateurs en leur faisant croire qu'ils interagissent avec un véritable DApp.

Phishing d'informations sur les contrats intelligents

Prenons l'exemple d'un portefeuille mobile bien connu, un attaquant peut créer un contrat intelligent de phishing et enregistrer le nom de sa fonction comme "SecurityUpdate". Lorsque l'utilisateur reçoit une demande de transaction, une fenêtre modale affichera ce nom de fonction trompeur, faisant en sorte que la transaction semble provenir de la mise à jour de sécurité de l'application de portefeuille elle-même.

Conseils de sécurité

Pour prévenir les attaques de phishing modal, les chercheurs ont proposé les recommandations suivantes :

1. Les développeurs d'applications de portefeuille devraient toujours vérifier la légitimité des données entrantes externes et ne pas faire confiance aveuglément à ces informations ni les afficher.

2. Le protocole Wallet Connect devrait envisager d'ajouter un mécanisme de vérification des informations DApp.

3. L'application de portefeuille doit filtrer les mots sensibles susceptibles d'être utilisés pour le phishing.

4. Les utilisateurs doivent rester vigilants face à chaque demande de transaction inconnue et vérifier attentivement les détails de la transaction.

En somme, les attaques de phishing modal révèlent les potentielles vulnérabilités de sécurité des portefeuilles mobiles Web3 en matière de conception d'interface utilisateur et de vérification des informations. Avec l'exposition de ce type de méthode d'attaque, l'industrie est susceptible d'adopter des mesures de sécurité plus strictes pour améliorer le niveau de protection des actifs des utilisateurs.