Web3.0 Carteira móvel novo tipo de lavar os olhos: ataque de phishing modal

Recentemente, descobrimos uma nova técnica de phishing que pode ser usada para enganar as vítimas na conexão com a identidade de aplicações descentralizadas (DApp). Nomeamos essa nova técnica de phishing de "ataque de phishing modal" (Modal Phishing).

Os atacantes se fazem passar por DApps legítimos enviando informações falsas forjadas para carteiras móveis, exibindo informações enganosas na janela modal da carteira móvel, enganando as vítimas para que aprovem transações. Essa técnica de phishing está sendo amplamente utilizada. Os desenvolvedores de componentes relevantes confirmaram que lançarão uma nova API de validação para reduzir esse risco.

O que é um ataque de phishing modal?

Na pesquisa sobre a segurança das carteiras móveis, notamos que certos elementos da interface do utilizador (UI) das carteiras de criptomoedas Web3.0 podem ser controlados por atacantes para realizar ataques de phishing. Nomeamos esta técnica de phishing como phishing modal, uma vez que os atacantes visam principalmente as janelas modais das carteiras de criptomoedas para realizar os ataques de phishing.

Modal (ou janela modal) é um elemento de UI frequentemente utilizado em aplicações móveis, geralmente exibido no topo da janela principal da aplicação. Este design é frequentemente utilizado para facilitar que os usuários realizem ações rápidas, como aprovar/rejeitar pedidos de transação de carteiras de criptomoeda Web3.0.

O design modal típico de uma Carteira de criptomoeda Web3.0 geralmente fornece as informações necessárias para que os usuários verifiquem assinaturas e outros pedidos, bem como botões para aprovar ou recusar pedidos.

Quando um novo pedido de transação é inicializado pelo DApp conectado, a Carteira exibirá uma nova janela modal, solicitando a confirmação manual do usuário. A janela modal geralmente contém a identidade do solicitante, como o endereço do site, ícone, etc. Algumas carteiras como a Metamask também exibem informações chave sobre o pedido.

No entanto, esses elementos da interface do usuário podem ser controlados por atacantes para realizar ataques de phishing modal. Os atacantes podem alterar os detalhes da transação, disfarçando o pedido de transação como um pedido de "Atualização de Segurança" vindo do "Metamask", levando os usuários a aprovar.

Caso Típico

Caso 1: Ataque de phishing DApp através do Wallet Connect

O protocolo Wallet Connect é um protocolo de código aberto amplamente utilizado, que conecta a carteira do usuário a DApps através de códigos QR ou links profundos. Durante o processo de emparelhamento entre carteiras de criptomoeda Web3.0 e DApps, a carteira exibirá uma janela modal, mostrando as metainformações do pedido de emparelhamento recebido, incluindo o nome do DApp, o endereço do site, o ícone e a descrição.

No entanto, essas informações são fornecidas pelo DApp, e a Carteira não verifica se as informações fornecidas são legítimas ou verdadeiras. Em ataques de phishing, os atacantes podem se passar por DApps legítimos para enganar os usuários a se conectarem a eles.

Um atacante pode afirmar ser um DApp Uniswap e conectar-se à carteira Metamask, enganando assim os usuários para aprovar transações recebidas. Durante o emparelhamento, a janela modal exibida na carteira apresenta informações do DApp Uniswap que parecem legítimas. O atacante pode substituir os parâmetros da solicitação de transação (como o endereço de destino e o valor da transação) para roubar os fundos da vítima.

Caso 2: Phishing de informações de contratos inteligentes através do MetaMask

No modal de aprovação do Metamask, há um elemento de UI que exibe o tipo de transação. O Metamask lê os bytes de assinatura do contrato inteligente e usa o registro de métodos on-chain para consultar o nome do método correspondente. No entanto, isso também cria outro elemento de UI no modal que pode ser controlado por um atacante.

Os atacantes podem criar um contrato inteligente de phishing que contém uma função chamada "SecurityUpdate" com capacidade de pagamento, permitindo que as vítimas transfiram fundos para esse contrato inteligente. Os atacantes também podem usar SignatureReg para registrar a assinatura do método como uma string legível por humanos "SecurityUpdate".

Combinando esses elementos de UI controláveis, o atacante pode criar um pedido de "SecurityUpdate" que parece vir do "Metamask", solicitando a aprovação do usuário.

Sugestões de Prevenção

1. Os desenvolvedores de aplicativos de Carteira devem sempre assumir que os dados recebidos externamente não são confiáveis.
2. Os desenvolvedores devem escolher cuidadosamente quais informações mostrar aos usuários e verificar a legalidade dessas informações.
3. Os utilizadores devem estar atentos a cada pedido de transação desconhecido e tratar todos os pedidos de transação com cautela.
4. O protocolo Wallet Connect pode considerar validar antecipadamente a validade e a legalidade das informações da DApp.
5. A aplicação da Carteira deve monitorizar o conteúdo apresentado aos utilizadores e tomar medidas preventivas para filtrar palavras que possam ser usadas em ataques de phishing.

Em suma, a causa fundamental dos ataques de phishing modal é que as aplicações de Carteira não verificam minuciosamente a legitimidade dos elementos de UI apresentados. Os usuários e desenvolvedores devem manter-se alerta e trabalhar em conjunto para garantir a segurança do ecossistema Web3.0.