Web3.0 Billetera móvil nuevo tipo de Lavado de ojos: ataque de phishing modal

Recientemente, hemos descubierto una nueva técnica de phishing que puede utilizarse para engañar a las víctimas en la conexión de identidades de aplicaciones descentralizadas (DApp). Hemos nombrado esta nueva técnica de phishing como "ataque de phishing modal" (Modal Phishing).

Los atacantes suplantan DApps legítimas al enviar información falsa y falsificada a billeteras móviles, mostrando información engañosa en la ventana modal de la billetera móvil para engañar a las víctimas y hacer que aprueben transacciones. Esta técnica de phishing se está utilizando ampliamente. Los desarrolladores de componentes relacionados han confirmado que lanzarán una nueva API de verificación para reducir este riesgo.

¿Qué es un ataque de phishing modal?

En la investigación sobre la seguridad de las billeteras móviles, notamos que ciertos elementos de la interfaz de usuario (UI) de las billeteras de criptomonedas Web3.0 pueden ser controlados por atacantes para llevar a cabo ataques de phishing. Llamamos a esta técnica de phishing phishing modal, ya que los atacantes se dirigen principalmente a las ventanas modales de las billeteras de criptomonedas para realizar ataques de phishing.

El modal (o ventana modal) es un elemento de UI comúnmente utilizado en aplicaciones móviles, que generalmente se muestra en la parte superior de la ventana principal de la aplicación. Este diseño se utiliza a menudo para facilitar a los usuarios realizar acciones rápidas, como aprobar/rechazar solicitudes de transacción de billetera de criptomonedas Web3.0.

El diseño modal típico de una billetera de criptomonedas Web3.0 normalmente proporciona la información necesaria para que los usuarios verifiquen las solicitudes de firma, así como botones para aprobar o rechazar solicitudes.

Cuando una nueva solicitud de transacción es inicializada por la DApp conectada, la Billetera mostrará una nueva ventana modal que requiere la confirmación manual del usuario. La ventana modal generalmente contiene la identidad del solicitante, como la dirección del sitio web, iconos, etc. Algunas billeteras como Metamask también mostrarán información clave sobre la solicitud.

Sin embargo, estos elementos de la interfaz de usuario pueden ser controlados por atacantes para llevar a cabo ataques de phishing modal. Los atacantes pueden cambiar los detalles de la transacción y disfrazar la solicitud de transacción como una solicitud de "Actualización de Seguridad" de "Metamask", engañando a los usuarios para que aprueben.

Caso típico

Caso 1: Ataque de phishing DApp a través de Billetera Connect

El protocolo Wallet Connect es un protocolo de código abierto muy popular, utilizado para conectar la billetera de un usuario con una DApp a través de códigos QR o enlaces profundos. Durante el proceso de emparejamiento entre la billetera de criptomonedas Web3.0 y la DApp, la billetera mostrará una ventana modal que muestra la metainformación de la solicitud de emparejamiento entrante, incluyendo el nombre de la DApp, la dirección del sitio web, el icono y la descripción.

Sin embargo, esta información es proporcionada por el DApp, la Billetera no verifica si la información proporcionada es legal y verdadera. En un ataque de phishing, el atacante puede hacerse pasar por un DApp legítimo, engañando a los usuarios para que se conecten con él.

Los atacantes pueden hacerse pasar por la DApp de Uniswap y conectar la billetera Metamask para engañar a los usuarios a que aprueben transacciones entrantes. Durante el proceso de emparejamiento, la ventana modal que se muestra en la billetera presenta información que parece legítima de la DApp de Uniswap. Los atacantes pueden reemplazar los parámetros de la solicitud de transacción (como la dirección de destino y el monto de la transacción) para robar los fondos de las víctimas.

Caso 2: Phishing de información de contratos inteligentes a través de MetaMask

En el modal de aprobación de Metamask, hay un elemento de interfaz de usuario que muestra el tipo de transacción. Metamask lee los bytes de firma del contrato inteligente y utiliza el registro de métodos en la cadena para consultar el nombre del método correspondiente. Sin embargo, esto también crea otro elemento de interfaz de usuario en el modal que puede ser controlado por un atacante.

Un atacante puede crear un contrato inteligente de phishing que contenga una función llamada "SecurityUpdate" con funcionalidad de pago, permitiendo a la víctima transferir fondos a dicho contrato inteligente. El atacante también puede registrar la firma del método como una cadena legible por humanos "SecurityUpdate" utilizando SignatureReg.

Con estos elementos de interfaz de usuario controlables, un atacante puede crear una solicitud de "Actualización de Seguridad" que parece provenir de "Metamask", buscando la aprobación del usuario.

Sugerencias de prevención

1. Los desarrolladores de aplicaciones de billetera siempre deben asumir que los datos entrantes externos no son de confianza.
2. Los desarrolladores deben elegir cuidadosamente qué información mostrar a los usuarios y verificar la legalidad de esta información.
3. Los usuarios deben estar alerta ante cada solicitud de transacción desconocida y tratar todas las solicitudes de transacción con precaución.
4. El protocolo Wallet Connect puede considerar verificar de antemano la validez y legalidad de la información de DApp.
5. La aplicación de billetera debe monitorear el contenido presentado a los usuarios y tomar medidas preventivas para filtrar las palabras que podrían ser utilizadas en ataques de phishing.

En conclusión, la causa fundamental de los ataques de phishing modal es que las aplicaciones de billetera no verifican a fondo la legitimidad de los elementos de la interfaz de usuario presentados. Tanto los usuarios como los desarrolladores deben estar alerta y trabajar juntos para mantener la seguridad del ecosistema Web3.0.