Web3.0 Mobil Cüzdan Yeni Tip Eyewash: Modüler Phishing Saldırıları

Son zamanlarda, merkeziyetsiz uygulama (DApp) kimlikleri ile bağlantı kurarken mağdurları yanıltmak için kullanılabilecek yeni bir oltalama tekniği keşfettik. Bu yeni oltalama tekniğine "Modal Oltalama Saldırısı" adını verdik.

Saldırganlar, mobil cüzdana sahte bilgiler göndererek meşru DApp'leri taklit ediyor ve mobil cüzdanın modal penceresinde yanıltıcı bilgiler göstererek mağdurları işlemi onaylamaya kandırıyor. Bu tür bir kimlik avı tekniği yaygın olarak kullanılmaktadır. İlgili bileşen geliştiricileri, bu riski azaltmak için yeni bir doğrulama API'si yayımlayacaklarını doğruladılar.

Modül Balıkçılığı Saldırısı Nedir?

Mobil cüzdanların güvenlik araştırmasında, Web3.0 kripto para cüzdanlarının bazı kullanıcı arayüzü (UI) unsurlarının saldırganlar tarafından kontrol edilebileceğini ve bu unsurların kimlik avı saldırıları için kullanılabileceğini fark ettik. Bu kimlik avı tekniğine modal kimlik avı adını verdik, çünkü saldırganlar esasen kripto cüzdanlarının modal pencerelerine yönelik kimlik avı saldırıları gerçekleştiriyor.

Mod (veya mod penceresi), mobil uygulamalarda sıkça kullanılan bir UI öğesidir ve genellikle uygulamanın ana penceresinin üstünde görünür. Bu tasarım, kullanıcıların Web3.0 kripto para Cüzdanı işlemlerini onaylama/red etme gibi hızlı işlemler yapmasını kolaylaştırmak için kullanılır.

Tipik bir Web3.0 kripto para cüzdanı mod tasarımı, kullanıcıların imzaları kontrol etmesi gibi talepleri gözden geçirmesi için gerekli bilgileri genellikle sağlar ve talepleri onaylamak veya reddetmek için butonlar sunar.

Bağlı DApp tarafından yeni bir işlem talebi başlatıldığında, Cüzdan yeni bir modal pencere gösterecek ve kullanıcıdan manuel onay isteyecektir. Modal pencere genellikle talep edenin kimliğini, web sitesi adresi, simge vb. içerir. Metamask gibi bazı cüzdanlar da talep ile ilgili anahtar bilgileri gösterecektir.

Ancak, bu kullanıcı arayüzü öğeleri, saldırganlar tarafından modal phishing saldırıları için kontrol edilebilir. Saldırganlar, işlem ayrıntılarını değiştirebilir, işlem isteğini "Metamask"'ten gelen bir "Güvenlik Güncellemesi" isteği olarak gizleyerek kullanıcıları onay vermeye ikna edebilir.

Tipik Vaka

Örnek 1: Wallet Connect aracılığıyla DApp oltalama saldırısı

Cüzdan Connect protokolü, kullanıcıların cüzdanlarını DApp ile QR kodu veya derin bağlantı aracılığıyla bağlamak için yaygın olarak kullanılan bir açık kaynak protokolüdür. Web3.0 kripto para cüzdanları ile DApp'ler arasındaki eşleştirme sürecinde, cüzdan bir modül penceresi gösterir ve gelen eşleştirme isteğinin meta bilgilerini, DApp'in adını, web adresini, simgesini ve açıklamasını içerir.

Ancak, bu bilgiler DApp tarafından sağlanmaktadır ve Cüzdan sağlanan bilgilerin yasal ve gerçek olup olmadığını doğrulamaz. Phishing saldırılarında, saldırganlar meşru DApp'leri taklit ederek kullanıcıları onlarla bağlantı kurmaya kandırabilir.

Saldırganlar kendilerini Uniswap DApp olarak gösterebilir ve Metamask Cüzdanı ile bağlantı kurarak kullanıcıları gelen işlemleri onaylamaları için kandırabilir. Eşleştirme sürecinde, cüzdandaki modal pencere, meşru gibi görünen Uniswap DApp bilgilerini gösterir. Saldırganlar, mağdurların fonlarını çalmak için işlem talep parametrelerini (hedef adres ve işlem tutarı gibi) değiştirebilir.

Örnek 2: MetaMask ile akıllı sözleşme bilgileri için oltalama

Metamask onay modalında, işlem türünü gösteren bir UI öğesi vardır. Metamask, akıllı sözleşmenin imza baytlarını okur ve zincir üzerindeki yöntem kayıt defterinden ilgili yöntem adını sorgular. Ancak bu, modalda bir saldırganın kontrol edebileceği başka bir UI öğesi de oluşturur.

Saldırganlar, "SecurityUpdate" adlı ödeme işlevine sahip bir phishing akıllı sözleşme oluşturabilir ve kurbanların fonlarını bu akıllı sözleşmeye aktarmalarına izin verebilir. Saldırganlar ayrıca SignatureReg kullanarak yöntem imzasını insan okunabilir bir dize olarak "SecurityUpdate" olarak kaydedebilirler.

Bu kontrol edilebilir UI öğelerini birleştirerek, saldırganlar kullanıcı onayını isteyen "Metamask"'tan geliyormuş gibi görünen bir "SecurityUpdate" talebi oluşturabilir.

Önlem Önerileri

1. Cüzdan uygulama geliştiricileri, her zaman dışarıdan gelen verilerin güvenilir olmadığını varsaymalıdır.
2. Geliştiriciler, kullanıcılara hangi bilgilerin gösterileceğini dikkatlice seçmeli ve bu bilgilerin yasal olup olmadığını doğrulamalıdır.
3. Kullanıcı, her bilinmeyen işlem talebine karşı dikkatli olmalı ve tüm işlem taleplerine temkinli yaklaşmalıdır.
4. Cüzdan Connect protokolü, DApp bilgilerin doğruluğunu ve yasallığını önceden doğrulamayı düşünebilir.
5. Cüzdan uygulamaları, kullanıcılara sunulan içeriği izlemeli ve olası phishing saldırıları için kullanılabilecek kelimeleri filtrelemek için önlemler almalıdır.

Sonuç olarak, modal phishing saldırılarının temel nedeni cüzdan uygulamalarının sunulan UI öğelerinin geçerliliğini tam olarak doğrulamamasıdır. Kullanıcılar ve geliştiriciler dikkatli olmalı ve Web3.0 ekosisteminin güvenliğini birlikte sağlamalıdır.