Web3.0 Portefeuille mobile nouvelle menace de sécurité : attaques de phishing modales
Récemment, des chercheurs en sécurité ont découvert une nouvelle technique de phishing ciblant les Portefeuilles mobiles Web3.0, appelée "attaque de phishing modal" (Modal Phishing). Cette attaque exploite des fenêtres modales dans les applications de Portefeuille mobile, en affichant des informations trompeuses pour inciter les utilisateurs à approuver des transactions malveillantes.
Principe des attaques de phishing modal
Les attaques de phishing modales ciblent principalement les fenêtres modales des portefeuilles de cryptomonnaie. Les fenêtres modales sont des éléments d'interface utilisateur courants dans les applications mobiles, généralement utilisées pour afficher des informations importantes telles que des demandes de transaction. Les attaquants peuvent manipuler certains éléments d'interface utilisateur dans ces fenêtres pour les faire paraître comme des demandes provenant d'applications légitimes.
Il existe principalement deux types d'attaques :
Contrôler les informations DApp via le protocole Wallet Connect
Manipuler l'affichage des informations des contrats intelligents dans certaines applications de Portefeuille
Vulnérabilité du protocole Wallet Connect
Wallet Connect est un protocole open source largement utilisé pour connecter les portefeuilles des utilisateurs aux DApp. Des recherches ont révélé que ce protocole ne valide pas l'authenticité des informations transmises par les DApp. Les attaquants peuvent falsifier le nom, l'URL et l'icône de la DApp, rendant ainsi les demandes de phishing semblables à celles d'applications légitimes.
Phishing d'informations sur les contrats intelligents
Prenons l'exemple d'un portefeuille mobile bien connu, qui lit les octets de signature du contrat intelligent lors de l'affichage du type de transaction et interroge le nom de la méthode correspondante. Un attaquant peut créer un contrat intelligent malveillant avec un nom trompeur (comme "SecurityUpdate"), ce qui fait que la demande de transaction semble être une mise à jour de sécurité.
Conseils de prévention
Pour les développeurs de Portefeuille :
Partir toujours du principe que les données entrantes externes ne sont pas fiables
Sélectionnez soigneusement les informations à afficher aux utilisateurs et vérifiez leur légalité
Filtrer les mots qui pourraient être utilisés pour des attaques de phishing
Pour les utilisateurs :
Restez vigilant face à chaque demande de transaction inconnue
Vérifiez attentivement les détails de la transaction, ne croyez pas facilement les informations affichées dans la fenêtre modale.
Mettez à jour régulièrement votre portefeuille pour bénéficier des dernières protections de sécurité.
Avec le développement de la technologie Web3.0, des menaces de sécurité similaires pourraient continuer à apparaître. Les utilisateurs et les développeurs doivent accroître leur sensibilisation à la sécurité et collaborer pour maintenir la sécurité de l'écosystème des cryptomonnaies.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
4
Reposter
Partager
Commentaire
0/400
MEVSandwichMaker
· 08-09 16:22
C'est devenu fou, le projet de fête s'amuse de plus en plus. Il semble que je doive changer de Portefeuille.
Voir l'originalRépondre0
GasFeeThunder
· 08-09 16:20
Encore un piège à gas, les données montrent une perte de 27.3w u.
Voir l'originalRépondre0
JustHereForAirdrops
· 08-09 15:59
Encore une nouvelle arnaque. Mes jetons sont presque tous volés.
Voir l'originalRépondre0
LiquidityWhisperer
· 08-09 15:57
Mort🐟 ne pas mordre à l'hameçon, une nouvelle arnaque est apparue.
Web3.0 Portefeuille nouvelle menace : principes et prévention des attaques de phishing modal
Web3.0 Portefeuille mobile nouvelle menace de sécurité : attaques de phishing modales
Récemment, des chercheurs en sécurité ont découvert une nouvelle technique de phishing ciblant les Portefeuilles mobiles Web3.0, appelée "attaque de phishing modal" (Modal Phishing). Cette attaque exploite des fenêtres modales dans les applications de Portefeuille mobile, en affichant des informations trompeuses pour inciter les utilisateurs à approuver des transactions malveillantes.
Principe des attaques de phishing modal
Les attaques de phishing modales ciblent principalement les fenêtres modales des portefeuilles de cryptomonnaie. Les fenêtres modales sont des éléments d'interface utilisateur courants dans les applications mobiles, généralement utilisées pour afficher des informations importantes telles que des demandes de transaction. Les attaquants peuvent manipuler certains éléments d'interface utilisateur dans ces fenêtres pour les faire paraître comme des demandes provenant d'applications légitimes.
Il existe principalement deux types d'attaques :
Vulnérabilité du protocole Wallet Connect
Wallet Connect est un protocole open source largement utilisé pour connecter les portefeuilles des utilisateurs aux DApp. Des recherches ont révélé que ce protocole ne valide pas l'authenticité des informations transmises par les DApp. Les attaquants peuvent falsifier le nom, l'URL et l'icône de la DApp, rendant ainsi les demandes de phishing semblables à celles d'applications légitimes.
Phishing d'informations sur les contrats intelligents
Prenons l'exemple d'un portefeuille mobile bien connu, qui lit les octets de signature du contrat intelligent lors de l'affichage du type de transaction et interroge le nom de la méthode correspondante. Un attaquant peut créer un contrat intelligent malveillant avec un nom trompeur (comme "SecurityUpdate"), ce qui fait que la demande de transaction semble être une mise à jour de sécurité.
Conseils de prévention
Pour les développeurs de Portefeuille :
Pour les utilisateurs :
Avec le développement de la technologie Web3.0, des menaces de sécurité similaires pourraient continuer à apparaître. Les utilisateurs et les développeurs doivent accroître leur sensibilisation à la sécurité et collaborer pour maintenir la sécurité de l'écosystème des cryptomonnaies.