- Chủ đề
107k Phổ biến
21k Phổ biến
5k Phổ biến
29k Phổ biến
16k Phổ biến
23k Phổ biến
14k Phổ biến
3k Phổ biến
13k Phổ biến
154k Phổ biến
- Ghim
107k Phổ biến
21k Phổ biến
5k Phổ biến
29k Phổ biến
16k Phổ biến
23k Phổ biến
14k Phổ biến
3k Phổ biến
13k Phổ biến
154k Phổ biến
Ví tiền di động Web3 gặp phải cuộc tấn công lừa đảo mô hình, phân tích chi tiết về phương pháp mới.
Phương pháp tấn công lừa đảo mới của ví tiền Web3: Lừa đảo mô hình
Gần đây, chúng tôi đã phát hiện một loại kỹ thuật lừa đảo mới nhằm vào ví tiền di động Web3, có thể dùng để đánh lừa người dùng phê duyệt giao dịch độc hại. Chúng tôi đã đặt tên cho kỹ thuật lừa đảo mới này là "tấn công lừa đảo mô hình" (Modal Phishing).
Trong cuộc tấn công này, hacker có thể gửi thông tin giả mạo đến Ví tiền di động, mạo danh DApp hợp pháp, và lừa đảo người dùng chấp thuận giao dịch bằng cách hiển thị nội dung gây hiểu lầm trong cửa sổ modal của Ví tiền. Chiêu trò lừa đảo này đang được sử dụng rộng rãi. Chúng tôi đã giao tiếp với các nhà phát triển thành phần liên quan, họ cho biết sẽ phát hành API xác minh mới để giảm thiểu rủi ro.
Mô hình tấn công lừa đảo là gì?
Trong nghiên cứu về an ninh của ví tiền di động, chúng tôi nhận thấy một số yếu tố giao diện người dùng (UI) của ví Web3 có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo. Chúng tôi đã đặt tên cho kỹ thuật lừa đảo này là lừa đảo theo mô-đun, vì kẻ tấn công chủ yếu nhắm vào các cửa sổ mô-đun của ví tiền điện tử.
Cửa sổ mô-đun là một phần tử UI thường gặp trong ứng dụng di động, thường hiển thị ở phía trên cùng của cửa sổ chính. Thiết kế này thường được sử dụng để thuận tiện cho người dùng thực hiện các thao tác nhanh chóng, như chấp thuận/từ chối yêu cầu giao dịch của Ví tiền Web3. Thiết kế mô-đun điển hình trên Ví tiền Web3 thường cung cấp thông tin giao dịch cần thiết để người dùng kiểm tra, cùng với các nút chấp thuận hoặc từ chối yêu cầu.
Tuy nhiên, những yếu tố giao diện người dùng này có thể bị kẻ tấn công thao túng để thực hiện tấn công lừa đảo mô hình. Kẻ tấn công có thể thay đổi chi tiết giao dịch, giả mạo yêu cầu giao dịch thành các bản cập nhật bảo mật từ nguồn đáng tin cậy, nhằm dụ dỗ người dùng phê duyệt.
Các trường hợp tấn công điển hình
Trường hợp 1: Lừa đảo DApp thông qua Ví tiền Connect
Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình kết nối, ví Web3 sẽ hiển thị một cửa sổ mô-đun, trình bày tên, địa chỉ web, biểu tượng và các thông tin khác của DApp. Tuy nhiên, những thông tin này được cung cấp bởi DApp, ví không xác minh tính xác thực của chúng.
Kẻ tấn công có thể giả mạo những thông tin này, giả danh DApp hợp pháp. Ví dụ, kẻ tấn công có thể tuyên bố mình là Uniswap, kết nối ví MetaMask của người dùng, lừa người dùng phê duyệt giao dịch độc hại. Trong quá trình kết nối, cửa sổ mô-đun hiển thị trong ví sẽ trình bày thông tin Uniswap trông hợp pháp, bao gồm tên, địa chỉ trang web và biểu tượng.
Các thiết kế mô-đun của ví tiền khác nhau có thể khác nhau, nhưng kẻ tấn công luôn có thể kiểm soát những thông tin siêu dữ liệu này. Cuộc tấn công này có thể được sử dụng để khiến người dùng tin rằng yêu cầu giao dịch đến từ DApp hợp pháp.
Trường hợp 2: Lừa đảo thông tin hợp đồng thông minh qua MetaMask
Trong cửa sổ mô-đun phê duyệt giao dịch của MetaMask, ngoài thông tin DApp, còn có một chuỗi biểu thị loại giao dịch, chẳng hạn như "Confirm" hoặc "Unknown Method". MetaMask sẽ đọc byte chữ ký của hợp đồng thông minh và sử dụng bảng đăng ký phương thức trên chuỗi để tra cứu tên phương thức tương ứng.
Kẻ tấn công có thể lợi dụng cơ chế này để tạo ra một hợp đồng thông minh lừa đảo, trong đó có một phương thức có chức năng thanh toán mang tên "SecurityUpdate". Khi MetaMask phân tích hợp đồng này, nó sẽ hiển thị chữ "SecurityUpdate" cho người dùng trong mô hình phê duyệt.
Kết hợp với các yếu tố UI có thể kiểm soát khác, kẻ tấn công có thể tạo ra một yêu cầu giao dịch rất thuyết phục, ngụy trang thành yêu cầu "Cập nhật bảo mật" từ "MetaMask", dụ dỗ người dùng phê duyệt.
Tóm tắt
Cuộc tấn công lừa đảo dạng mô-đun đã tiết lộ những rủi ro tiềm ẩn trong các thành phần giao diện người dùng ví Web3. Nguyên nhân cơ bản của cuộc tấn công này là ứng dụng ví không đủ khả năng xác minh tính hợp lệ của các yếu tố giao diện người dùng được trình bày. Ví dụ, ví trực tiếp tin tưởng vào siêu dữ liệu từ Wallet Connect SDK, trong khi SDK đó cũng không xác minh siêu dữ liệu đầu vào.
Để phòng ngừa các cuộc tấn công như vậy, các nhà phát triển ví tiền nên luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy, lựa chọn cẩn thận thông tin được hiển thị cho người dùng và xác minh tính hợp pháp của những thông tin này. Đồng thời, người dùng cũng nên cảnh giác với mỗi yêu cầu giao dịch không rõ ràng để đảm bảo an toàn cho tài sản của mình.