Web3.0 Ví tiền mới hình thức trò lừa bịp: tấn công lừa đảo mô hình

Gần đây, chúng tôi đã phát hiện một loại công nghệ lừa đảo mới, có thể được sử dụng để đánh lừa nạn nhân trong việc kết nối danh tính ứng dụng phi tập trung (DApp). Chúng tôi đã đặt tên cho loại công nghệ lừa đảo mới này là "tấn công lừa đảo kiểu mô hình" (Modal Phishing).

Kẻ tấn công giả mạo DApp hợp pháp bằng cách gửi thông tin giả mạo đến ví tiền di động và hiển thị thông tin gây hiểu lầm trong cửa sổ mô-đun của ví tiền di động, lừa đảo nạn nhân chấp thuận giao dịch. Kỹ thuật lừa đảo trực tuyến này đang được sử dụng rộng rãi. Các nhà phát triển thành phần liên quan đã xác nhận sẽ phát hành API xác thực mới để giảm thiểu rủi ro này.

Mô hình tấn công lừa đảo là gì?

Trong nghiên cứu về an ninh của ví tiền di động, chúng tôi nhận thấy rằng một số yếu tố giao diện người dùng (UI) của ví tiền điện tử Web3.0 có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo. Chúng tôi đặt tên cho kỹ thuật lừa đảo này là lừa đảo theo kiểu mô-đun, vì kẻ tấn công chủ yếu nhắm vào cửa sổ mô-đun của ví tiền điện tử để thực hiện các cuộc tấn công lừa đảo.

Mô-đun (hoặc cửa sổ mô-đun) là một yếu tố UI thường được sử dụng trong ứng dụng di động, thường hiển thị ở đầu cửa sổ chính của ứng dụng. Thiết kế này thường được sử dụng để thuận tiện cho người dùng thực hiện các thao tác nhanh, chẳng hạn như chấp thuận/từ chối yêu cầu giao dịch ví tiền Web3.0.

Thiết kế mô-đun ví tiền tiền điện tử Web3.0 điển hình thường cung cấp thông tin cần thiết cho người dùng kiểm tra chữ ký và các yêu cầu khác, cũng như các nút để phê duyệt hoặc từ chối yêu cầu.

Khi yêu cầu giao dịch mới được khởi tạo bởi DApp được kết nối, Ví tiền sẽ hiển thị một cửa sổ mô-đun mới, yêu cầu người dùng xác nhận thủ công. Cửa sổ mô-đun thường bao gồm danh tính của người yêu cầu, chẳng hạn như địa chỉ trang web, biểu tượng, v.v. Một số Ví tiền như Metamask cũng sẽ hiển thị thông tin quan trọng liên quan đến yêu cầu.

Tuy nhiên, các yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát để thực hiện các cuộc tấn công lừa đảo mô hình. Kẻ tấn công có thể thay đổi chi tiết giao dịch, giả dạng yêu cầu giao dịch như là yêu cầu "Cập nhật Bảo mật" từ "Metamask", dụ dỗ người dùng phê duyệt.

Trường hợp điển hình

Trường hợp 1: Tấn công lừa đảo DApp thông qua Wallet Connect

Giao thức Wallet Connect là một giao thức mã nguồn mở rất phổ biến, được sử dụng để kết nối ví của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép nối giữa ví tiền tiền điện tử Web3.0 và DApp, ví sẽ hiển thị một cửa sổ mô-đun, hiển thị thông tin siêu dữ liệu của yêu cầu ghép đôi đến, bao gồm tên DApp, địa chỉ website, biểu tượng và mô tả.

Tuy nhiên, những thông tin này được cung cấp bởi DApp, Ví tiền không xác minh tính hợp pháp và真实性 của thông tin mà nó cung cấp. Trong các cuộc tấn công lừa đảo, kẻ tấn công có thể giả mạo DApp hợp pháp, dụ dỗ người dùng kết nối với nó.

Kẻ tấn công có thể tự xưng là DApp Uniswap và kết nối với Ví tiền Metamask, nhằm lừa đảo người dùng phê duyệt các giao dịch đến. Trong quá trình ghép cặp, cửa sổ mô hình hiển thị trong ví sẽ trình bày thông tin DApp Uniswap có vẻ hợp pháp. Kẻ tấn công có thể thay thế các tham số yêu cầu giao dịch (như địa chỉ đích và số tiền giao dịch) để đánh cắp tiền của nạn nhân.

Ví dụ 2: Lừa đảo thông tin hợp đồng thông minh thông qua MetaMask

Trong mô-đun phê duyệt Metamask, có một phần tử UI hiển thị loại giao dịch. Metamask sẽ đọc byte chữ ký của hợp đồng thông minh và sử dụng bảng tra cứu phương thức trên chuỗi để truy vấn tên phương thức tương ứng. Tuy nhiên, điều này cũng sẽ tạo ra một phần tử UI khác trong mô-đun có thể bị kẻ tấn công kiểm soát.

Kẻ tấn công có thể tạo ra một hợp đồng thông minh lừa đảo, trong đó chứa một hàm có tên "SecurityUpdate" với chức năng thanh toán, và cho phép nạn nhân chuyển tiền vào hợp đồng thông minh đó. Kẻ tấn công cũng có thể sử dụng SignatureReg để đăng ký chữ ký phương thức dưới dạng chuỗi có thể đọc được bởi con người "SecurityUpdate".

Kết hợp những yếu tố UI có thể kiểm soát này, kẻ tấn công có thể tạo ra một yêu cầu "SecurityUpdate" có vẻ như đến từ "Metamask", yêu cầu sự chấp thuận của người dùng.

Lời khuyên phòng ngừa

1. Các nhà phát triển ứng dụng Ví tiền nên luôn giả định rằng dữ liệu đầu vào từ bên ngoài không đáng tin cậy.
2. Các nhà phát triển nên cẩn thận chọn thông tin nào để hiển thị cho người dùng và xác minh tính hợp pháp của những thông tin này.
3. Người dùng nên đề cao cảnh giác với mọi yêu cầu giao dịch không rõ ràng và cẩn thận với tất cả các yêu cầu giao dịch.
4. Giao thức Wallet Connect có thể xem xét xác minh trước tính hợp lệ và hợp pháp của thông tin DApp.
5. Ứng dụng Ví tiền nên giám sát nội dung được trình bày cho người dùng và thực hiện các biện pháp phòng ngừa để lọc bỏ những từ có thể được sử dụng cho các cuộc tấn công lừa đảo.

Tóm lại, nguyên nhân cơ bản của các cuộc tấn công lừa đảo mô hình là các ứng dụng ví tiền không xác minh kỹ lưỡng tính hợp pháp của các yếu tố giao diện người dùng được trình bày. Người dùng và nhà phát triển nên nâng cao cảnh giác, cùng nhau duy trì an toàn cho hệ sinh thái Web3.0.