🎉【Gate 3000万纪念】晒出我的Gate时刻,解锁限量好礼!
Gate用户突破3000万!这不仅是数字,更是我们共同的故事。
还记得第一次开通账号的激动,抢购成功的喜悦,或陪伴你的Gate周边吗?
📸 参与 #我的Gate时刻# ,在Gate广场晒出你的故事,一起见证下一个3000万!
✅ 参与方式:
1️⃣ 带话题 #我的Gate时刻# ,发布包含Gate元素的照片或视频
2️⃣ 搭配你的Gate故事、祝福或感言更佳
3️⃣ 分享至Twitter(X)可参与浏览量前10额外奖励
推特回链请填表单:https://www.gate.com/questionnaire/6872
🎁 独家奖励:
🏆 创意大奖(3名):Gate × F1红牛联名赛车模型一辆
👕 共创纪念奖(10名): 国际米兰同款球员卫衣
🥇 参与奖(50名):Gate 品牌抱枕
📣 分享奖(10名):Twitter前10浏览量,送Gate × 国米小夜灯!
*海外用户红牛联名赛车折合为 $200 合约体验券,国米同款球衣折合为 $50 合约体验券,国米小夜灯折合为 $30 合约体验券,品牌抱枕折合为 $20 合约体验券发放
🧠 创意提示:不限元素内容风格,晒图带有如Gate logo、Gate色彩、周边产品、GT图案、活动纪念品、活动现场图等均可参与!
活动截止于7月25日 24:00 UTC+8
3
Web3移动钱包新型骗局:模态钓鱼攻击详解与防范
Web3.0移动钱包新型骗局揭秘:模态钓鱼攻击
近期,我们发现了一种新型的网络钓鱼技术,可用于误导受害者在连接去中心化应用(DApp)身份方面。我们将这种新型网络钓鱼技术命名为"模态钓鱼攻击"(Modal Phishing)。
攻击者通过向移动钱包发送伪造的虚假信息来冒充合法DApp,并在移动钱包的模态窗口中显示误导性信息,诱骗受害者批准交易。这种网络钓鱼技术正在广泛使用。相关组件开发人员已确认将发布新的验证API以降低该风险。
什么是模态钓鱼攻击?
在对移动钱包的安全研究中,我们注意到Web3.0加密货币钱包的某些用户界面(UI)元素可被攻击者控制用来进行网络钓鱼攻击。我们将这种钓鱼技术命名为模态钓鱼,因为攻击者主要针对加密钱包的模态窗口进行钓鱼攻击。
模态(或模态窗口)是移动应用程序中常用的UI元素,通常显示在应用程序主窗口顶部。这种设计通常用于方便用户执行快速操作,如批准/拒绝Web3.0加密货币钱包的交易请求。
典型的Web3.0加密货币钱包模态设计通常提供必要信息供用户检查签名等请求,以及批准或拒绝请求的按钮。
当新的交易请求被连接的DApp初始化时,钱包会展示一个新的模态窗口,要求用户进行人工确认。模态窗口通常包含请求者的身份,如网站地址、图标等。一些钱包如Metamask也会显示有关请求的关键信息。
然而,这些用户界面元素可被攻击者控制以进行模态钓鱼攻击。攻击者可以更改交易细节,将交易请求伪装成来自"Metamask"的"Security Update"请求,诱使用户批准。
典型案例
案例1:通过Wallet Connect进行DApp钓鱼攻击
Wallet Connect协议是一个广受欢迎的开源协议,用于通过二维码或深度链接将用户的钱包与DApp连接。在Web3.0加密货币钱包和DApp之间的配对过程中,钱包会展示一个模态窗口,显示传入配对请求的元信息,包括DApp的名称、网站地址、图标和描述。
然而,这些信息是由DApp提供的,钱包并不验证其所提供信息是否合法真实。在网络钓鱼攻击中,攻击者可以假冒合法DApp,诱骗用户与其连接。
攻击者可以声称自己是Uniswap DApp,并连接Metamask钱包,以此欺骗用户批准传入的交易。在配对过程中,钱包内显示的模态窗口呈现了看似合法的Uniswap DApp信息。攻击者可以替换交易请求参数(如目的地地址和交易金额)来窃取受害者的资金。
案例2:通过MetaMask进行智能合约信息网络钓鱼
在Metamask批准模态中,有一个显示交易类型的UI元素。Metamask会读取智能合约的签名字节,并使用链上方法注册表查询相应的方法名称。然而,这也会在模态上创建另一个可被攻击者控制的UI元素。
攻击者可以建立一个钓鱼智能合约,其中包含一个名为"SecurityUpdate"的具备支付功能的函数,并允许受害者将资金转入该智能合约。攻击者还可以使用SignatureReg将方法签名注册为人类可读的字符串"SecurityUpdate"。
结合这些可控的UI元素,攻击者可以创建一个看似来自"Metamask"的"SecurityUpdate"请求,寻求用户的批准。
防范建议
总之,模态钓鱼攻击的根本原因是钱包应用程序没有彻底验证所呈现的UI元素的合法性。用户和开发者都应提高警惕,共同维护Web3.0生态系统的安全。