This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Web3モバイルウォレットがモーダルフィッシング攻撃に遭遇 新しい手法の詳細
Web3モバイルウォレットの新しいフィッシング攻撃手法の解明:モーダルフィッシング
最近、私たちはWeb3モバイルウォレットを対象とした新しいフィッシング技術を発見しました。この技術は、ユーザーに悪意のある取引を承認させることを誤導するために使用されます。この新しいフィッシング技術を「モーダルフィッシング攻撃(Modal Phishing)」と名付けました。
この攻撃では、ハッカーはモバイルウォレットに偽の情報を送信し、正当なDAppを偽装し、ウォレットのモーダルウィンドウに誤解を招く内容を表示することでユーザーに取引の承認を誘導します。このフィッシング手法は広く使用されています。私たちは関連コンポーネントの開発者と連絡を取り合い、リスクを低減するために新しい検証APIを公開する予定であると彼らは述べました。
モーダルフィッシング攻撃とは?
モバイルウォレットのセキュリティ研究において、私たちはWeb3ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者によって制御され、フィッシング攻撃に利用される可能性があることに注意しました。このフィッシング技術をモーダルフィッシングと名付けました。なぜなら、攻撃者は主に暗号ウォレットのモーダルウィンドウを対象に攻撃を行うからです。
モーダルウィンドウは、モバイルアプリケーションでよく使われるUI要素で、通常はメインウィンドウの上部に表示されます。このデザインは、ユーザーがWeb3 ウォレットの取引リクエストを承認/拒否するなどの迅速な操作を実行しやすくするために使用されます。Web3 ウォレットの典型的なモーダルデザインは、ユーザーが確認するための必要な取引情報を提供し、リクエストを承認または拒否するボタンを含んでいます。
しかし、これらのユーザーインターフェース要素は、攻撃者によって操作され、モーダルフィッシング攻撃に利用される可能性があります。攻撃者は、取引の詳細を変更し、取引リクエストを信頼できるソースからの安全な更新に偽装するなどして、ユーザーに承認させるように誘導することができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
典型的な攻撃事例
ケース1: Wallet Connectを介したDAppフィッシング
ウォレットコネクトは、QRコードまたはディープリンクを介してユーザーホイッレットとDAppを接続するための人気のあるオープンソースプロトコルです。接続プロセス中、Web3ウォレットはモーダルウィンドウを表示し、DAppの名前、URL、アイコンなどの情報を示します。しかし、これらの情報はDAppによって提供されており、ウォレットはその真実性を検証しません。
攻撃者はこれらの情報を偽造し、合法的なDAppを装うことができます。例えば、攻撃者は自分がUniswapであると主張し、ユーザーのMetaMaskウォレットに接続して、ユーザーに悪意のある取引を承認させるように誘惑することができます。接続の過程で、ウォレット内に表示されるモーダルウィンドウには、名前、ウェブサイト、アイコンを含む、一見合法的なUniswapの情報が表示されます。
異なるウォレットのモダールデザインは異なる場合がありますが、攻撃者は常にこれらのメタ情報を制御できます。この攻撃は、ユーザーに取引リクエストが合法なDAppからのものであると信じさせるために使用される可能性があります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
ケース2:MetaMaskを通じてスマートコントラクト情報フィッシング
MetaMaskの取引承認モーダルウィンドウでは、DApp情報の他に、"Confirm"や"Unknown Method"などの取引タイプを示す文字列が表示されます。MetaMaskはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名を照会します。
攻撃者はこのメカニズムを利用して、支払い機能を持つメソッドの名前が「SecurityUpdate」であるフィッシングスマートコントラクトを作成できます。MetaMaskがこのコントラクトを解析すると、承認モーダルに「SecurityUpdate」という文字がユーザーに表示されます。
他の制御可能なUI要素と組み合わせることで、攻撃者は非常に説得力のある取引要求を作成し、それを「MetaMask」からの「SecurityUpdate」要求に偽装して、ユーザーに承認させることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
まとめ
モーダルフィッシング攻撃は、Web3ウォレットのUIコンポーネントに潜在的なリスクを明らかにしました。この攻撃の根本的な原因は、ウォレットアプリが表示されるUI要素の合法性を十分に検証していないことです。例えば、ウォレットはWallet Connect SDKからのメタデータを直接信頼しますが、SDK自体も受信したメタデータを検証していません。
このような攻撃を防ぐために、ウォレットの開発者は常に外部データを信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その情報の合法性を検証する必要があります。同時に、ユーザーも未知の取引要求に対して警戒を怠らず、自身の資産の安全を確保する必要があります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング