模態釣魚攻擊:Web3移動錢包面臨的新安全威脅

robot
摘要生成中

Web3移動錢包新型安全威脅:模態釣魚攻擊

近期,安全研究人員發現了一種針對Web3移動錢包的新型網絡釣魚技術,被稱爲"模態釣魚攻擊"(Modal Phishing)。這種攻擊手法利用了移動錢包應用中常見的模態窗口UI元素,通過顯示誤導性信息來誘騙用戶批準惡意交易。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

模態釣魚攻擊的原理

模態釣魚攻擊主要針對加密貨幣錢包應用中用於交易確認的模態窗口。攻擊者可以操縱這些窗口中的某些UI元素,使其顯示虛假或誤導性的信息,從而欺騙用戶批準惡意交易。

這種攻擊手法主要利用了兩個漏洞:

  1. 通過Wallet Connect協議進行DApp釣魚:攻擊者可以控制連接請求中的DApp信息,如名稱、圖標等,使釣魚應用僞裝成合法DApp。

  2. 智能合約信息釣魚:某些錢包應用會在模態窗口中顯示智能合約的函數名稱,攻擊者可以註冊誤導性的函數名來欺騙用戶。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

攻擊案例分析

DApp釣魚

研究人員演示了如何創建一個僞造的DApp,聲稱自己是Uniswap或Metamask等知名應用。當用戶嘗試連接錢包時,模態窗口會顯示看似合法的應用信息,包括名稱、網址和圖標。這可能會誤導用戶相信他們正在與真實的DApp交互。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

智能合約信息釣魚

以某知名移動錢包爲例,攻擊者可以創建一個釣魚智能合約,並將其函數名註冊爲"SecurityUpdate"。當用戶收到交易請求時,模態窗口會顯示這個誤導性的函數名,使交易看起來像是來自錢包應用本身的安全更新。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

安全建議

爲了防範模態釣魚攻擊,研究人員提出了以下建議:

  1. 錢包應用開發者應該始終驗證外部傳入數據的合法性,不應盲目信任和展示這些信息。

  2. Wallet Connect協議應考慮增加DApp信息驗證機制。

  3. 錢包應用應過濾可能被用於釣魚的敏感詞語。

  4. 用戶應對每個未知的交易請求保持警惕,仔細核實交易詳情。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

總之,模態釣魚攻擊揭示了Web3移動錢包在用戶界面設計和信息驗證方面的潛在安全隱患。隨着這類攻擊手法的曝光,業界有望採取更嚴格的安全措施,以提高用戶資產的保護水平。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 讚賞
  • 8
  • 分享
留言
0/400
币圈资深幸存者vip
· 07-09 22:58
又是区块链的老伎俩....
回復0
StableBoivip
· 07-08 10:08
钱包要保管好咯
回復0
精神财富收割机vip
· 07-07 17:00
搞钱搞钱,赶紧跑路
回復0
MoonBoi42vip
· 07-07 16:57
又开始装了,这都什么年代了
回復0
Crypto凤凰vip
· 07-07 16:57
血与泪的修行,才换来一颗战士的心啊...加油,注意安全
回復0
LowCapGemHuntervip
· 07-07 16:45
又是个钓鱼池 小白永远亏
回復0
fren_with_benefitsvip
· 07-07 16:42
原来是dapp的锅呀..跑了跑了
回復0
AirdropHunter420vip
· 07-07 16:34
现在的骗子是真滴猛啊!
回復0
交易,隨時隨地
qrCode
掃碼下載 Gate APP
社群列表
繁體中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)