Mengungkap Metode Serangan Phishing Baru pada Dompet Mobile Web3: Phishing Modal

Baru-baru ini, kami menemukan jenis teknik phishing baru yang ditargetkan pada dompet seluler Web3, yang dapat digunakan untuk menyesatkan pengguna dalam menyetujui transaksi berbahaya. Kami menamai teknik phishing baru ini sebagai "modal phishing attack" ( Modal Phishing ).

Dalam serangan ini, peretas dapat mengirimkan informasi palsu ke dompet seluler, berpura-pura menjadi DApp yang sah, dan menipu pengguna untuk menyetujui transaksi dengan menampilkan konten menyesatkan di jendela modal dompet. Teknik phishing ini sedang banyak digunakan. Kami telah berkomunikasi dengan pengembang komponen terkait, dan mereka menyatakan akan merilis API verifikasi baru untuk mengurangi risiko.

Apa itu serangan phishing modal?

Dalam penelitian keamanan dompet seluler, kami memperhatikan bahwa beberapa elemen antarmuka pengguna Web3 (UI) dapat dikendalikan oleh penyerang untuk serangan phishing. Kami menamai teknik phishing ini sebagai phishing modal, karena penyerang terutama menargetkan jendela modal dompet kripto.

Jendela modal adalah elemen UI yang umum digunakan dalam aplikasi seluler, biasanya ditampilkan di atas jendela utama. Desain ini biasanya digunakan untuk memudahkan pengguna melakukan tindakan cepat, seperti menyetujui/menolak permintaan transaksi dari dompet Web3. Desain modal yang khas pada dompet Web3 biasanya menyediakan informasi transaksi yang diperlukan untuk diperiksa oleh pengguna, serta tombol untuk menyetujui atau menolak permintaan.

Namun, elemen antarmuka pengguna ini dapat dimanipulasi oleh penyerang untuk melakukan serangan phishing modal. Penyerang dapat mengubah detail transaksi, menyamarkan permintaan transaksi sebagai pembaruan keamanan dari sumber tepercaya, dan lain-lain, untuk membujuk pengguna agar menyetujui.

Kasus Serangan Tipikal

Kasus 1: Phishing DApp melalui Dompet Connect

Dompet Connect adalah protokol sumber terbuka yang populer, digunakan untuk menghubungkan dompet pengguna dengan DApp melalui kode QR atau tautan dalam. Selama proses penghubungan, dompet Web3 akan menampilkan jendela modal yang menunjukkan nama DApp, URL, ikon, dan informasi lainnya. Namun, informasi ini disediakan oleh DApp, dan dompet tidak memverifikasi keasliannya.

Penyerang dapat memalsukan informasi ini, menyamar sebagai DApp yang sah. Misalnya, penyerang dapat mengklaim dirinya adalah Uniswap, menghubungkan dompet MetaMask pengguna, dan menipu pengguna untuk menyetujui transaksi berbahaya. Selama proses koneksi, jendela modal yang ditampilkan di dalam dompet akan menunjukkan informasi Uniswap yang tampak sah, termasuk nama, situs web, dan ikon.

Desain modal dari dompet yang berbeda mungkin berbeda, tetapi penyerang selalu dapat mengontrol informasi meta ini. Serangan ini dapat digunakan untuk membuat pengguna percaya bahwa permintaan transaksi berasal dari DApp yang sah.

Kasus 2: Memancing informasi kontrak pintar melalui MetaMask

Dalam jendela modal persetujuan transaksi MetaMask, selain informasi DApp, juga akan ditampilkan sebuah string yang menunjukkan jenis transaksi, seperti "Konfirmasi" atau "Metode Tidak Dikenal". MetaMask akan membaca byte tanda tangan kontrak pintar dan menggunakan daftar metode di blockchain untuk mencari nama metode yang sesuai.

Penyerang dapat memanfaatkan mekanisme ini untuk membuat kontrak pintar phishing yang berisi metode berfungsi pembayaran bernama "SecurityUpdate". Ketika MetaMask menganalisis kontrak ini, itu akan menampilkan kata "SecurityUpdate" kepada pengguna dalam mode persetujuan.

Dengan menggabungkan elemen UI yang dapat dikendalikan lainnya, penyerang dapat membuat permintaan transaksi yang sangat meyakinkan, menyamar sebagai permintaan "SecurityUpdate" dari "MetaMask", yang mengelabui pengguna untuk menyetujui.

Ringkasan

Serangan phishing modal mengungkapkan risiko potensial dalam komponen UI dompet Web3. Penyebab mendasar serangan ini adalah aplikasi dompet yang tidak cukup memverifikasi keabsahan elemen UI yang ditampilkan. Misalnya, dompet secara langsung mempercayai metadata yang berasal dari Wallet Connect SDK, sementara SDK itu sendiri juga tidak memverifikasi metadata yang masuk.

Untuk mencegah serangan semacam itu, pengembang dompet harus selalu mengasumsikan bahwa data eksternal tidak dapat dipercaya, dengan hati-hati memilih informasi yang ditampilkan kepada pengguna, dan memverifikasi keabsahan informasi tersebut. Sementara itu, pengguna juga harus tetap waspada terhadap setiap permintaan transaksi yang tidak dikenal untuk memastikan keamanan aset mereka.