Web3.0 Dompet baru jenis eyewash: serangan phishing modal

Belakangan ini, kami menemukan jenis teknologi phishing baru yang dapat digunakan untuk menyesatkan korban dalam menghubungkan identitas aplikasi terdesentralisasi (DApp). Kami menamai teknologi phishing baru ini sebagai "serangan phishing modal" (Modal Phishing).

Penyerang berpura-pura menjadi DApp yang sah dengan mengirimkan informasi palsu yang dipalsukan ke dompet seluler, dan menampilkan informasi yang menyesatkan di jendela modal dompet seluler, untuk menipu korban agar menyetujui transaksi. Teknik phishing ini sedang digunakan secara luas. Pengembang komponen terkait telah mengonfirmasi akan merilis API verifikasi baru untuk mengurangi risiko ini.

Apa itu serangan phishing modal?

Dalam penelitian keamanan dompet bergerak, kami memperhatikan bahwa beberapa elemen antarmuka pengguna (UI) dari dompet cryptocurrency Web3.0 dapat dikendalikan oleh penyerang untuk melakukan serangan phishing. Kami menamai teknik phishing ini sebagai phishing modal, karena penyerang terutama menargetkan jendela modal dompet cryptocurrency untuk melakukan serangan phishing.

Modal (atau jendela modal) adalah elemen UI yang umum digunakan dalam aplikasi seluler, biasanya ditampilkan di atas jendela utama aplikasi. Desain ini sering digunakan untuk memudahkan pengguna melakukan tindakan cepat, seperti menyetujui/menolak permintaan transaksi dompet cryptocurrency Web3.0.

Desain modal dompet cryptocurrency Web3.0 yang khas biasanya menyediakan informasi yang diperlukan bagi pengguna untuk memeriksa tanda tangan dan permintaan lainnya, serta tombol untuk menyetujui atau menolak permintaan.

Ketika permintaan transaksi baru diinisialisasi oleh DApp yang terhubung, Dompet akan menampilkan jendela modal baru yang meminta pengguna untuk melakukan konfirmasi manual. Jendela modal biasanya berisi identitas pemohon, seperti alamat situs web, ikon, dan lain-lain. Beberapa Dompet seperti Metamask juga akan menampilkan informasi kunci tentang permintaan.

Namun, elemen antarmuka pengguna ini dapat dikendalikan oleh penyerang untuk melakukan serangan phishing modal. Penyerang dapat mengubah detail transaksi, menyamarkan permintaan transaksi sebagai permintaan "Pembaruan Keamanan" dari "Metamask", menggoda pengguna untuk menyetujui.

Kasus Khas

Kasus 1: Serangan phishing DApp melalui Dompet Connect

Protokol Wallet Connect adalah protokol sumber terbuka yang sangat populer, digunakan untuk menghubungkan dompet pengguna dengan DApp melalui kode QR atau tautan dalam. Dalam proses pem配an antara dompet cryptocurrency Web3.0 dan DApp, dompet akan menampilkan jendela modal yang menunjukkan informasi metadata dari permintaan pem配an yang masuk, termasuk nama DApp, alamat situs web, ikon, dan deskripsi.

Namun, informasi ini disediakan oleh DApp, dan Dompet tidak memverifikasi apakah informasi yang diberikan tersebut sah dan nyata. Dalam serangan phishing, penyerang dapat menyamar sebagai DApp yang sah, menipu pengguna untuk terhubung dengannya.

Penyerang dapat mengklaim dirinya sebagai DApp Uniswap dan menghubungkan dompet Metamask untuk menipu pengguna agar menyetujui transaksi yang masuk. Selama proses pencocokan, jendela modal yang ditampilkan di dalam dompet menunjukkan informasi DApp Uniswap yang tampak sah. Penyerang dapat mengganti parameter permintaan transaksi (seperti alamat tujuan dan jumlah transaksi) untuk mencuri dana korban.

Kasus 2: Memancing informasi kontrak pintar melalui MetaMask

Dalam modal persetujuan Metamask, ada elemen UI yang menampilkan jenis transaksi. Metamask akan membaca byte tanda tangan kontrak pintar dan menggunakan query registri metode di blockchain untuk mencari nama metode yang sesuai. Namun, ini juga akan menciptakan elemen UI lain di modal yang dapat dikendalikan oleh penyerang.

Penyerang dapat membuat kontrak pintar phishing yang berisi fungsi bernama "SecurityUpdate" dengan kemampuan pembayaran, dan memungkinkan korban untuk mentransfer dana ke kontrak pintar tersebut. Penyerang juga dapat menggunakan SignatureReg untuk mendaftarkan tanda tangan metode sebagai string yang dapat dibaca manusia "SecurityUpdate".

Dengan menggabungkan elemen UI yang dapat dikendalikan ini, penyerang dapat membuat permintaan "SecurityUpdate" yang tampaknya berasal dari "Metamask", meminta persetujuan dari pengguna.

Saran Pencegahan

1. Pengembang aplikasi Dompet harus selalu menganggap bahwa data yang masuk dari luar tidak dapat dipercaya.
2. Pengembang harus memilih dengan hati-hati informasi apa yang akan ditampilkan kepada pengguna dan memverifikasi keabsahan informasi tersebut.
3. Pengguna harus waspada terhadap setiap permintaan transaksi yang tidak dikenal dan bersikap hati-hati terhadap semua permintaan transaksi.
4. Protokol Wallet Connect dapat mempertimbangkan untuk memvalidasi informasi DApp sebelumnya untuk keabsahan dan legalitas.
5. Aplikasi Dompet harus memantau konten yang disajikan kepada pengguna dan mengambil langkah pencegahan untuk menyaring kata-kata yang mungkin digunakan untuk serangan phishing.

Singkatnya, penyebab mendasar dari serangan phishing modal adalah aplikasi dompet tidak memverifikasi secara menyeluruh keabsahan elemen UI yang ditampilkan. Pengguna dan pengembang harus tetap waspada untuk bersama-sama menjaga keamanan ekosistem Web3.0.