This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Web3モバイルウォレット新型目薬:モーダルフィッシング攻撃の詳細と防止
ウェブ3.0モバイルウォレット新型目薬:モーダルフィッシング攻撃
最近、私たちは被害者を誤導するために使用される新しいフィッシング技術を発見しました。これは、分散型アプリ(DApp)のアイデンティティに接続することに関してです。この新しいフィッシング技術を「モーダルフィッシング攻撃」と名付けました。
攻撃者はモバイルウォレットに偽の情報を送信することで正当なDAppを装い、モバイルウォレットのモーダルウィンドウに誤解を招く情報を表示させ、被害者を騙して取引を承認させます。このフィッシング手法は広く使用されています。関連コンポーネントの開発者は、このリスクを軽減するために新しい検証APIをリリースすることを確認しました。
モーダルフィッシング攻撃とは何ですか?
モバイルウォレットのセキュリティ研究において、私たちはウェブ3.0暗号通貨ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者によって制御され、フィッシング攻撃に利用される可能性があることに気付きました。このフィッシング技術はモーダルフィッシングと名付けられています。なぜなら、攻撃者は主に暗号ウォレットのモーダルウィンドウをターゲットにしてフィッシング攻撃を行うからです。
モーダル(またはモーダルウィンドウ)は、モバイルアプリケーションで一般的に使用されるUI要素で、通常アプリケーションのメインウィンドウの上部に表示されます。このデザインは、ユーザーがウェブ3.0暗号通貨ウォレットの取引リクエストを承認/拒否するなどの迅速な操作を行うのに便利です。
典型的ウェブ3.0暗号通貨ウォレットモーダルデザインは通常、ユーザーが署名などの要求を確認するために必要な情報を提供し、要求を承認または拒否するボタンを提供します。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
新しい取引リクエストが接続されたDAppによって初期化されると、ウォレットはユーザーに手動で確認を求める新しいモーダルウィンドウを表示します。モーダルウィンドウには、通常、リクエスターの身元、例えばウェブサイトのアドレスやアイコンなどが含まれます。一部のウォレット、例えばMetamaskは、リクエストに関する重要な情報も表示します。
しかし、これらのユーザーインターフェース要素は、攻撃者によって制御され、モーダルフィッシング攻撃を行うことができます。攻撃者は取引の詳細を変更し、取引要求を"Metamask"からの"Security Update"要求に偽装して、ユーザーに承認させるよう誘導します。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
典型的なケース
###ケース1:Wallet ConnectによるDAppフィッシング攻撃
ウォレットコネクトプロトコルは、QRコードやディープリンクを通じてユーザーのウォレットとDAppを接続するための広く使われているオープンソースプロトコルです。ウェブ3.0暗号通貨ウォレットとDApp間のペアリングプロセスでは、ウォレットはモーダルウィンドウを表示し、DAppの名前、ウェブサイトのアドレス、アイコン、および説明を含む受信したペアリングリクエストのメタ情報を表示します。
しかし、これらの情報はDAppによって提供されており、ウォレットは提供された情報が合法で真実であるかどうかを検証しません。フィッシング攻撃では、攻撃者が合法的なDAppを偽装し、ユーザーを騙して接続させることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
攻撃者は自分がUniswap DAppであると主張し、Metamaskウォレットに接続することで、ユーザーを騙して受信トランザクションを承認させることができます。ペアリングプロセス中、ウォレット内に表示されるモーダルウィンドウは、一見合法的なUniswap DAppの情報を示します。攻撃者は取引要求パラメータ(宛先アドレスや取引金額など)を置き換えることで、被害者の資金を盗むことができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
ケース2:MetaMaskを通じてスマートコントラクト情報フィッシング
Metamaskの承認モーダルには、取引タイプを表示するUI要素があります。Metamaskはスマートコントラクトの署名バイトを読み取り、オンチェーンメソッドレジストリを使用して対応するメソッド名を照会します。しかし、これによりモーダルには攻撃者が制御できる別のUI要素も生成されます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
攻撃者は、"SecurityUpdate"という支払い機能を持つ関数を含むフィッシングスマートコントラクトを作成し、被害者がそのスマートコントラクトに資金を転送できるようにします。攻撃者はまた、SignatureRegを使用してメソッドシグネチャを人間が読める文字列"SecurityUpdate"として登録することもできます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
これらの制御可能なUI要素を組み合わせることで、攻撃者は「Metamask」からの「SecurityUpdate」リクエストのように見えるものを作成し、ユーザーの承認を求めることができます。
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
予防に関する推奨事項
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
つまり、モーダルフィッシング攻撃の根本的な原因は、ウォレットアプリケーションが提示されたUI要素の合法性を徹底的に検証していないことです。ユーザーと開発者は警戒を強め、ウェブ3.0エコシステムの安全を共に維持すべきです。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング