Веб3 мобільний гаманець нові методи фішингових атак: модальні фішинги

Нещодавно ми виявили новий вид фішинг-технології, спрямованої на мобільні гаманці Web3, яка може використовуватися для введення в оману користувачів щодо затвердження шкідливих транзакцій. Ми назвали цю нову фішинг-технологію "модальна фішинг-атака"(Modal Phishing).

У цьому типі атаки зловмисники можуть надсилати підроблену інформацію до мобільного гаманця, маскуючись під легітимний DApp, і спокушати користувачів схвалити транзакції, відображаючи в модальному вікні гаманця оманливий контент. Цей метод фішингу широко використовується. Ми спілкувалися з розробниками відповідних компонентів, які повідомили, що випустять новий API для верифікації, щоб знизити ризики.

Що таке модальне рибальство?

У дослідженні безпеки мобільних гаманців ми звернули увагу на те, що деякі елементи інтерфейсу Web3-гаманців (UI) можуть бути контрольовані зловмисниками для фішингових атак. Ми назвали цю техніку фішингу модальним фішингом, оскільки зловмисники в основному намагаються атакувати модальні вікна криптовалютних гаманців.

Модальне вікно є звичайним елементом інтерфейсу користувача в мобільних додатках, зазвичай відображається у верхній частині головного вікна. Такий дизайн зазвичай використовується для зручності виконання швидких дій, таких як схвалення/відхилення запиту на транзакцію Web3 гаманець. Типовий модальний дизайн на Web3 гаманці зазвичай надає необхідну інформацію про транзакцію для перевірки користувачем, а також кнопки для схвалення або відхилення запиту.

Однак ці елементи інтерфейсу користувача можуть бути маніпульовані зловмисниками для проведення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакцій, маскувати запити на транзакції під виглядом безпечних оновлень від надійних джерел тощо, щоб спонукати користувачів надати згоду.

Типові випадки атак

Приклад 1: Фішинг DApp через Гаманець Connect

Wallet Connect є популярним відкритим протоколом, який використовується для підключення користувацького гаманця до DApp через QR-код або глибоке посилання. Під час підключення Web3 гаманець відображає модальне вікно, у якому показуються назва DApp, веб-адреса, значок та інша інформація. Але ця інформація надається DApp, гаманець не перевіряє її достовірність.

Зловмисники можуть підробляти цю інформацію, видаючи себе за легітимні DApp. Наприклад, зловмисник може стверджувати, що він є Uniswap, підключаючи гаманець MetaMask користувача, спокушаючи користувача схвалити шкідливу транзакцію. Під час процесу підключення модальне вікно, що відображається в гаманці, буде містити, здавалося б, легітимну інформацію про Uniswap, включаючи назву, веб-сайт та іконку.

Різні моделі дизайну гаманець можуть бути різними, але зловмисники завжди можуть контролювати цю метаінформацію. Цей тип атаки може бути використаний для того, щоб змусити користувачів вірити, що запит на транзакцію походить від легітимного DApp.

Приклад 2: Фішинг інформації про смарт-контракти через MetaMask

У модальному вікні схвалення транзакцій MetaMask, окрім інформації про DApp, також відображається рядок, що вказує на тип транзакції, наприклад, "Підтвердити" або "Невідомий метод". MetaMask зчитує байти підпису смарт-контракту та використовує реєстр методів на ланцюзі для запиту відповідної назви методу.

Атакуючи, можуть скористатися цим механізмом, створивши фішинговий смарт-контракт, що містить метод з функцією оплати, названий "SecurityUpdate". Коли MetaMask розбирає цей контракт, у модальному вікні затвердження користувачу буде представлено слово "SecurityUpdate".

Об'єднавши інші контрольовані елементи інтерфейсу, зловмисник може створити дуже переконливий запит на транзакцію, замаскувавши його під запит "SecurityUpdate" від "MetaMask", щоб спонукати користувача надати дозвіл.

Підсумок

Атака модального рибальства виявила потенційні ризики в UI-компонентах гаманців Web3. Основною причиною цієї атаки є те, що програми гаманців не можуть належним чином перевірити легітимність представлених елементів UI. Наприклад, гаманець безпосередньо довіряє метаданим, що надходять від Wallet Connect SDK, тоді як сам SDK також не перевіряє вхідні метадані.

Щоб запобігти таким атакам, розробники гаманець повинні завжди вважати зовнішні дані ненадійними, обачно обирати інформацію, яку вони показують користувачам, і перевіряти легітимність цієї інформації. Одночасно користувачі також повинні бути обережними щодо кожного невідомого запиту на транзакцію, щоб забезпечити безпеку своїх активів.