Web3移動錢包遭遇模態釣魚攻擊 用戶需警惕新型欺詐手段

robot
摘要生成中

Web3.0移動錢包面臨新型釣魚威脅:模態釣魚攻擊

研究人員最近發現了一種針對Web3.0移動錢包的新型網絡釣魚技術,被稱爲"模態釣魚攻擊"(Modal Phishing)。這種攻擊手法主要利用移動錢包應用中的模態窗口來誤導用戶,使其在不知情的情況下批準惡意交易。

模態釣魚攻擊的原理

模態釣魚攻擊主要針對加密貨幣錢包應用中的模態窗口進行操作。模態窗口是移動應用中常用的UI元素,通常顯示在主界面之上,用於展示重要信息或請求用戶操作,如批準交易等。

攻擊者可以通過控制這些模態窗口中的某些UI元素來進行欺騙。例如,他們可以篡改顯示的DApp信息、智能合約函數名稱等,使其看起來像是來自合法應用的安全更新或其他可信操作。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

兩種主要的攻擊方式

  1. 利用Wallet Connect協議進行DApp釣魚: 攻擊者可以僞造DApp信息,包括名稱、圖標和網址等。當用戶通過Wallet Connect連接錢包時,這些虛假信息會顯示在錢包的模態窗口中,使用戶誤以爲正在與合法DApp交互。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

  1. 通過智能合約信息進行釣魚: 以MetaMask爲例,攻擊者可以創建帶有誤導性函數名的智能合約,如"SecurityUpdate"。當用戶與這些合約交互時,錢包會在模態窗口中顯示這些名稱,使交易看起來像是正常的安全更新。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

漏洞的根本原因

這類攻擊之所以可能發生,主要是因爲錢包應用未能充分驗證所顯示信息的合法性。例如:

  • Wallet Connect協議沒有驗證DApp提供的信息。
  • 某些錢包直接信任並展示來自外部SDK的元數據。
  • 智能合約的函數名稱可以被惡意註冊爲誤導性字符串。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

防範建議

  1. 錢包開發者應該:
    • 對所有外部數據保持懷疑態度,進行嚴格驗證。
    • 仔細篩選向用戶展示的信息。
    • 實施額外的安全措施來驗證交易請求的真實性。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

  1. 用戶應該:
    • 對每個未知的交易請求保持警惕。
    • 仔細檢查交易詳情,不要輕信模態窗口中顯示的信息。
    • 在批準任何交易前,確認來源的可靠性。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

結語

模態釣魚攻擊展示了Web3.0生態系統中存在的新型安全威脅。隨着去中心化應用和錢包的普及,用戶和開發者都需要提高警惕,採取更嚴格的安全措施來防範這類精心設計的欺詐手段。只有通過不斷改進安全實踐,我們才能在Web3.0的世界中構建更安全、更可信的用戶體驗。

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

揭祕Web3.0移動錢包新型騙局:模態釣魚攻擊Modal Phishing

查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 讚賞
  • 5
  • 分享
留言
0/400
链上考古学家vip
· 22小時前
真让人学不完
回復0
ServantOfSatoshivip
· 07-06 15:48
这波钓鱼更狠啊
回復0
fomo_fightervip
· 07-06 15:46
不测试 不交易
回復0
RamenDeFiSurvivorvip
· 07-06 15:40
又又又多一种新骗术哈
回復0
分叉自由主义者vip
· 07-06 15:27
又有新的割韭菜手法了
回復0
交易,隨時隨地
qrCode
掃碼下載 Gate APP
社群列表
繁體中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)