Веб 3.0 мобильный Кошелек новый промывание глаз: модальная фишинг-атака

Недавно мы обнаружили новый тип фишинга, который может использоваться для введения в заблуждение жертв при подключении к идентификации децентрализованных приложений (DApp). Мы назвали эту новую технику фишинга "модальная фишинг-атака" (Modal Phishing).

Атакующие выдают себя за легитимные DApp, отправляя поддельную ложную информацию на мобильный Кошелек и отображая вводящую в заблуждение информацию в модальном окне мобильного Кошелька, чтобы обмануть жертв на одобрение транзакции. Эта техника фишинга широко используется. Разработчики соответствующих компонентов подтвердили, что будут выпущены новые API для проверки, чтобы снизить этот риск.

Что такое модальное фишинг-атака?

В ходе исследования безопасности мобильного кошелька мы обратили внимание на то, что некоторые элементы пользовательского интерфейса (UI) кошельков криптовалюты Веб 3.0 могут быть контролируемы злоумышленниками для проведения фишинговых атак. Мы назвали эту технику фишинга модальным фишингом, потому что злоумышленники в основном нацеливаются на модальные окна криптокошельков для проведения фишинговых атак.

Модальное окно (или модальный диалог) является распространённым элементом пользовательского интерфейса в мобильных приложениях и обычно отображается в верхней части главного окна приложения. Этот дизайн часто используется для удобства выполнения пользователями быстрых действий, таких как одобрение/отклонение запросов на транзакции криптовалютного Кошелька в Веб 3.0.

Типичный модальный дизайн криптовалютного кошелька Веб 3.0 обычно предоставляет необходимую информацию для проверки подписей и других запросов, а также кнопки для одобрения или отклонения запросов.

Когда новый запрос на сделку инициализируется подключенным DApp, Кошелек будет отображать новое модальное окно, требующее подтверждения от пользователя. Модальное окно обычно содержит информацию о запрашивающей стороне, такую как адрес сайта, иконка и т.д. Некоторые Кошельки, такие как Metamask, также отображают ключевую информацию о запросе.

Однако эти элементы пользовательского интерфейса могут быть контролируемы злоумышленниками для проведения модальных фишинговых атак. Злоумышленники могут изменить детали транзакции, маскируя запрос транзакции под запрос "Обновление безопасности" от "Metamask", чтобы заставить пользователей одобрить.

Типичный случай

Пример 1: Фишинг-атака на DApp через Кошелек Connect

Протокол Wallet Connect является популярным открытым протоколом, который используется для подключения кошелька пользователя к DApp через QR-код или глубокую ссылку. В процессе сопряжения между криптовалютным кошельком и DApp в Веб 3.0 кошелек отображает модальное окно, показывающее метаинформацию входящего запроса на сопряжение, включая название DApp, адрес сайта, иконку и описание.

Однако эта информация предоставляется DApp, и Кошелек не проверяет, является ли предоставленная информация законной и реальной. В ходе фишинговой атаки злоумышленники могут выдавать себя за законные DApp, обманывая пользователей и заставляя их подключаться к ним.

Атакующий может выдать себя за DApp Uniswap и подключить кошелек Metamask, чтобы обмануть пользователя и получить разрешение на входящие транзакции. В процессе сопряжения модальное окно, отображаемое в кошельке, показывает, казалось бы, законную информацию о DApp Uniswap. Атакующий может заменить параметры запроса на транзакцию (такие как адрес назначения и сумма транзакции), чтобы похитить средства жертвы.

Пример 2: Фишинг информации о смарт-контрактах через MetaMask

В модальном окне утверждения Metamask есть UI-элемент, отображающий тип транзакции. Metamask считывает байты подписи смарт-контракта и использует реестр методов на блокчейне для запроса соответствующего имени метода. Однако это также создаст еще один UI-элемент в модальном окне, который может контролироваться злоумышленником.

Атакующий может создать фишинговый смарт-контракт, который содержит функцию с платежными возможностями под названием "SecurityUpdate", и позволить жертве перевести средства на этот смарт-контракт. Атакующий также может использовать SignatureReg для регистрации подписи метода как читаемой человеком строки "SecurityUpdate".

Объединив эти контролируемые элементы интерфейса, злоумышленник может создать запрос "SecurityUpdate", который кажется исходящим от "Metamask", чтобы получить одобрение пользователя.

Рекомендации по предотвращению

1. Разработчики кошелек приложений должны всегда предполагать, что входящие внешние данные недоверительны.
2. Разработчики должны тщательно выбирать, какую информацию показывать пользователям, и проверять законность этой информации.
3. Пользователи должны быть осторожны с каждым неизвестным запросом на транзакцию и внимательно относиться ко всем запросам на транзакции.
4. Протокол Wallet Connect может рассмотреть возможность предварительной проверки действительности и легитимности информации DApp.
5. Кошелек должен отслеживать контент, представленный пользователям, и принимать профилактические меры для фильтрации слов, которые могут быть использованы для атак фишинга.

В общем, коренной причиной модальных фишинговых атак является то, что приложения для Кошелек не полностью проверяют законность представленных элементов интерфейса. Как пользователи, так и разработчики должны быть бдительными и совместно обеспечивать безопасность экосистемы Веб 3.0.