Mối đe dọa an ninh mới của ví tiền di động Web3: Tấn công lừa đảo mô hình

Gần đây, các nhà nghiên cứu an ninh đã phát hiện ra một loại kỹ thuật lừa đảo mới nhắm vào ví tiền di động Web3, được gọi là "tấn công lừa đảo theo mô hình" ( Modal Phishing ). Kỹ thuật tấn công này tận dụng các yếu tố giao diện người dùng cửa sổ mô hình thường thấy trong ứng dụng ví tiền di động, bằng cách hiển thị thông tin gây hiểu lầm để dụ dỗ người dùng phê duyệt giao dịch độc hại.

Nguyên lý của cuộc tấn công lừa đảo mô-đun

Cuộc tấn công lừa đảo mô hình chủ yếu nhắm vào các cửa sổ mô hình được sử dụng để xác nhận giao dịch trong các ứng dụng ví tiền tiền điện tử. Kẻ tấn công có thể thao túng một số yếu tố UI trong những cửa sổ này để hiển thị thông tin giả mạo hoặc gây hiểu lầm, từ đó lừa dối người dùng phê duyệt giao dịch độc hại.

Phương pháp tấn công này chủ yếu khai thác hai lỗ hổng:

1. Thực hiện lừa đảo DApp thông qua giao thức Wallet Connect: Kẻ tấn công có thể kiểm soát thông tin DApp trong yêu cầu kết nối, chẳng hạn như tên, biểu tượng, v.v., khiến ứng dụng lừa đảo giả mạo thành DApp hợp pháp.

2. Thông tin lừa đảo hợp đồng thông minh: Một số ứng dụng ví tiền sẽ hiển thị tên hàm của hợp đồng thông minh trong cửa sổ mô-đun, kẻ tấn công có thể đăng ký tên hàm gây hiểu lầm để lừa đảo người dùng.

Phân tích trường hợp tấn công

Lừa đảo DApp

Các nhà nghiên cứu đã trình diễn cách tạo ra một DApp giả mạo, tự nhận mình là các ứng dụng nổi tiếng như Uniswap hoặc Metamask. Khi người dùng cố gắng kết nối Ví tiền, cửa sổ mô-đun sẽ hiển thị thông tin ứng dụng có vẻ hợp pháp, bao gồm tên, trang web và biểu tượng. Điều này có thể gây nhầm lẫn cho người dùng tin rằng họ đang tương tác với một DApp thực sự.

Thông tin lừa đảo hợp đồng thông minh

Lấy một ví tiền di động nổi tiếng làm ví dụ, kẻ tấn công có thể tạo ra một hợp đồng thông minh lừa đảo và đăng ký tên hàm của nó là "SecurityUpdate". Khi người dùng nhận được yêu cầu giao dịch, cửa sổ mô-đun sẽ hiển thị tên hàm gây hiểu lầm này, khiến giao dịch trông giống như đến từ bản cập nhật bảo mật của ứng dụng ví.

Đề xuất an toàn

Để phòng ngừa các cuộc tấn công lừa đảo mô hình, các nhà nghiên cứu đã đưa ra những đề xuất sau:

1. Các nhà phát triển ứng dụng Ví tiền nên luôn xác minh tính hợp pháp của dữ liệu được gửi từ bên ngoài, không nên mù quáng tin tưởng và hiển thị những thông tin này.

2. Giao thức Wallet Connect nên xem xét việc tăng cường cơ chế xác thực thông tin DApp.

3. Ứng dụng Ví tiền nên lọc các từ nhạy cảm có thể được sử dụng cho việc lừa đảo.

4. Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không xác định và kiểm tra kỹ thông tin giao dịch.

Tóm lại, các cuộc tấn công lừa đảo mô hình đã tiết lộ những nguy cơ an ninh tiềm tàng trong thiết kế giao diện người dùng và xác thực thông tin của ví tiền di động Web3. Khi các phương thức tấn công này được công khai, ngành công nghiệp hy vọng sẽ áp dụng các biện pháp an ninh nghiêm ngặt hơn để nâng cao mức độ bảo vệ tài sản của người dùng.