Веб 3.0 новий тип замилювання очей мобільного гаманця: модальне фішинг-атака

Нещодавно ми виявили новий тип технології фішингу, який може використовуватися для введення в оману жертв щодо підключення до ідентичності децентралізованих застосунків (DApp). Ми назвали цю нову технологію фішингу "модальний фішинг" (Modal Phishing).

Зловмисники видають себе за законні DApp, надсилаючи підроблену неправдиву інформацію до мобільного гаманця та відображаючи оманливу інформацію у модальному вікні мобільного гаманця, спокушаючи жертв погодитися на транзакцію. Ця техніка фішингу широко використовується. Розробники відповідних компонентів підтвердили, що планується випустити новий API перевірки для зменшення цього ризику.

Що таке модальне фішинг-атака?

У дослідженні безпеки мобільних гаманців ми звернули увагу на те, що деякі елементи інтерфейсу користувача (UI) криптовалютних гаманців Веб 3.0 можуть контролюватися зловмисниками для проведення фішингових атак. Ми назвали цю техніку фішингу модальним фішингом, оскільки зловмисники в основному націлюються на модальні вікна криптовалютних гаманців для проведення фішингових атак.

Модаль (або модальне вікно) є поширеним елементом інтерфейсу користувача в мобільних додатках, зазвичай відображається у верхній частині основного вікна додатку. Цей дизайн зазвичай використовується для зручності користувача при виконанні швидких дій, таких як схвалення/відхилення запиту на транзакцію криптовалютного гаманець Web3.0.

Типовий дизайн модального вікна криптовалютного гаманця Веб 3.0 зазвичай надає необхідну інформацію для перевірки підписів та інших запитів, а також кнопки для затвердження або відхилення запитів.

Коли новий запит на транзакцію ініціюється підключеним DApp, гаманець відображає нове модальне вікно, яке вимагає від користувача ручного підтвердження. Модальне вікно зазвичай містить ідентичність запитувача, таку як адреса сайту, значок тощо. Деякі гаманці, такі як Metamask, також відображають ключову інформацію про запит.

Однак ці елементи інтерфейсу користувача можуть бути контрольовані зловмисниками для проведення модальних фішингових атак. Зловмисники можуть змінювати деталі транзакції, маскуючи запит на транзакцію під запит "Оновлення безпеки" від "Metamask", спокушаючи користувачів схвалити його.

Типові випадки

Приклад 1: Фішинг-атака на DApp через Гаманець Connect

Протокол Wallet Connect є популярним відкритим протоколом, що використовується для з'єднання гаманця користувача з DApp за допомогою QR-коду або глибокого посилання. Під час процесу парування між криптовалютним гаманцем і DApp у Веб 3.0 гаманець відображає модальне вікно, що показує метаінформацію про вхідний запит на парування, включаючи назву DApp, адресу сайту, іконку та опис.

Однак ця інформація надається DApp, гаманець не перевіряє, чи є надана інформація законною та правдивою. Під час фішингових атак зловмисники можуть видавати себе за легітимний DApp, вводячи користувачів в оману, щоб підключитися до них.

Зловмисники можуть стверджувати, що вони є DApp Uniswap, і підключати гаманець Metamask, щоб обманювати користувачів, дозволяючи вхідні транзакції. Під час процесу парування модальне вікно, що відображається у гаманці, містить, здавалося б, легітимну інформацію DApp Uniswap. Зловмисники можуть змінювати параметри запиту на транзакцію (такі як адреса призначення та сума транзакції), щоб вкрасти кошти жертви.

Приклад 2: Фішинг інформації про смарт-контракти через MetaMask

У модальному вікні затвердження Metamask є елемент інтерфейсу, що відображає тип транзакції. Metamask зчитує байти підпису смарт-контракту та використовує реєстр методів на блокчейні для запиту відповідної назви методу. Однак це також створить ще один елемент інтерфейсу в модальному вікні, який може контролюватися зловмисниками.

Зловмисники можуть створити фішинг-контракт, що містить функцію, яка називається "SecurityUpdate" і має платіжну функціональність, що дозволяє жертвам перевести кошти на цей смарт-контракт. Зловмисники також можуть використовувати SignatureReg для реєстрації підпису методу як зрозумілого для людини рядка "SecurityUpdate".

Поєднуючи ці контрольовані елементи інтерфейсу, зловмисник може створити запит "SecurityUpdate", який, здається, походить від "Metamask", щоб отримати схвалення користувача.

Рекомендації щодо запобігання

1. Розробники додатків для Гаманців повинні завжди вважати, що вхідні дані ззовні є ненадійними.
2. Розробники повинні ретельно вибирати, яку інформацію показувати користувачам, та перевіряти легітимність цієї інформації.
3. Користувачі повинні бути обережними з кожним невідомим запитом на транзакцію і ставитися до всіх запитів на транзакцію з обережністю.
4. Протокол Wallet Connect можна розглянути для попередньої перевірки дійсності та легітимності інформації DApp.
5. Гаманець повинен моніторити контент, що надається користувачам, і вживати запобіжних заходів для фільтрації слів, які можуть бути використані для замилювання очей.

Загалом, основною причиною модальних фішингових атак є те, що гаманець не перевіряє належним чином законність представлених елементів UI. Користувачі та розробники повинні бути обережними, щоб разом підтримувати безпеку екосистеми Веб 3.0.