木星链 木星链
Ctrl+D收藏木星链

APP:一茬接一茬,Web3.0移动钱包又现独特钓鱼攻击手法Modal Phishing

作者:

时间:1900/1/1 0:00:00

我们最近发现了一种新型的网络钓鱼技术,可用于在连接的去中心化应用身份方面误导受害者。我们将这种新型的网络钓鱼技术命名为ModalPhishing。攻击者可以向移动钱包发送伪造的虚假信息冒充合法的DApp,并通过在移动钱包的模态窗口中显示误导性信息来诱受害者批准交易。这种网络钓鱼技术正在广泛使用。我们与相应的组件开发人员进行了沟通,并确认他们将发布新的验证API以降低该风险。什么是ModalPhishing?

在CertiK对移动钱包的安全研究中,我们注意到Web3.0货币钱包的某些用户界面元素可以被攻击者控制用来进行网络钓鱼攻击。我们将这种钓鱼技术命名为ModalPhishing,因为攻击者主要针对加密钱包的模态窗口进行钓鱼攻击。模态是移动应用程序中经常使用的UI元素。模态通常显示在应用程序主窗口顶部。这样的设计通常用于方便用户执行快速操作,如批准/拒绝Web3.0货币钱包的交易请求。Web3.0货币钱包上的典型模态设计通常提供供用户检查签名等请求的必要信息,以及批准或拒绝请求的按钮。

Near基金会将帮助Web3社交网络Blumer构建代币基础设施:金色财经报道,Near基金会与哥伦比亚Web3社交网络Blumer合作,为其提供代币基础设施。Blumer开始使用Near协议来托管其用户在平台上观看广告时获得的奖励代币,用户将能够使用Near区块链将代币转换为其他加密货币或发送到钱包中。

Near基金会在一份声明中说,除了通过消费广告在平台上赚钱外,Blumer用户还可以出售NFT或进行加密货币交易。[2023/7/28 16:05:06]

真实交易批准模式与网络钓鱼交易批准模式对比在上方截图中,我们展示了Metamask上一个常规的交易审批模态窗口是如何出现的。当一个新的交易请求被连接的去中心化应用程序初始化时,钱包会展示一个新的模态窗口,并要求用户进行人工确认。如上图左侧所示,模态窗口通常包含请求者的身份,如网站地址、图标等。如Metamask这样的一些钱包也会显示有关请求的关键信息,在实例中我们看到一些UI元素被标记为“Confirm”,以提示用户这是一个常规的交易请求。然而,这些用户界面元素可以被攻击者控制以进行ModalPhishing攻击。在右侧的截图中,我们可以看到攻击者可以更改交易细节,并将交易请求伪装成来自“Metamask”的“SecurityUpdate”请求,以诱使用户批准。如截图所示,攻击者可以操纵多个UI元素。因此我们将在本文中为大家分享两个典型案例,并确定那些可被攻击者控制的UI元素。详细信息如下:①如果使用WalletConnect协议,攻击者可以控制DApp信息UI元素。②攻击者可以控制某些钱包应用中的智能合约信息UI元素。

Arbitrum社区经理:Odyssey活动将重启:3月17日消息,Arbitrum 社区经理在官方 Discord 社区发布公告表示,Odyssey 活动将重启。此前报道,去年 6 月 29 日,Arbitrum 宣布暂停 Odyssey 活动,表示为确保 Arbitrum One 上的用户获得更好的体验,暂定将在其基于以太坊测试网的 Nitro 开发网络正式发布后,重启 Odyssey 活动。[2023/3/17 13:10:34]

攻击者控制的Modal和相关的信息源示例示例①:通过WalletConnect进行DApp钓鱼攻击WalletConnect协议是一个广受欢迎的开源协议,用于通过二维码或深度链接将用户的钱包与DApp连接。用户可以通过WalletConnect协议将他们的钱包与DApp连接起来,然后与该协议进行进行交易或转账。在Web3.0货币钱包和DApp之间的配对过程中,我们注意到Web3.0货币钱包会展示一个模态窗口,显示传入配对请求的元信息——包括DApp的名称,网站地址,图标和描述。Web3.0钱包展示的这些信息和方式根据DApp名称、图标和网站地址不同而变化,以供用户查看。但是这些信息是DApp提供的,钱包并不验证其所提供信息是否合法真实。比如在网络钓鱼攻击中,某雷碧可以假称为某雪碧,而后在用户发起交易请求之前诱用户与其连接。小伙伴们可以复制链接到浏览器查看CertiK为此做的一个小测试。在该视频中,CertiK展示了攻击者是如何「欺瞒」UniswapDApp的——攻击者声称自己是UniswapDApp,并连接Metamask钱包,以此用户批准传入的交易。在配对过程中,钱包内显示的模态窗口呈现了合规UniswapDApp的名称、网站网址和网站图标。由于网址中使用了https方案,所以还显示了一个挂锁图标,这样显得模态窗口更为逼真和合法了。在配对过程中,只要受害者想在假Uniswap网站上进行交易操作,攻击者就可以替换交易请求参数来窃取受害者的资金。请注意,虽然不同的钱包上的模态设计不同,但攻击者是始终可以控制元信息的。下图展示了当我们将ZenGo和1Inch钱包连接到钓鱼网站的DApp时,配对批准模式的样子。

2022年加密市值前十:MATIC新晋上榜:12月31日消息,据CoinGecko数据显示,截至发稿时,2022年加密市值排行前10分别为:BTC、ETH、USDT、USDC、BNB、XRP、BUSD、DOGE、ADA、MATIC。

2022年年初加密市值排行前10分别为:BTC、ETH、BNB、USDT、SOL、XRP、ADA、USDC、LUNA、AVAX。[2022/12/31 22:18:20]

ModalPhishing:连接到Zengo和1Inch钱包的虚假DApp现在我们知道了配对和交易模态窗口可以被攻击者操纵,这样的攻击可以被用来让用户相信交易请求来自合法的DApp。如下方截图所示,我们创建了一个自称是“Metamask”的虚假DApp,并启动了一个钓鱼智能合约。攻击者可以在交易批准模态中冒充Metamask或Uniswap的DApp。

安全团队:攻击者通过AVAX闪电贷攻击获利约37万USDC:9月7日消息,据CertiK预警监测,一个针对AVAX的闪电贷攻击影响了合约0xe767c和一些LP,攻击者获利约37万USDC。攻击者可能影响的协议包括Nereus Finance、Trader Joe、Curve Finance。[2022/9/7 13:13:26]

如上例所示,被大规模使用的WalletConnect协议并未验证配对的DApp信息的合法性。被操纵的元信息被钱包应用程序进一步使用并呈现给用户,这可以被用来进行ModalPhishing。作为一个潜在的解决方案,WalletConnect协议可以提前验证DApp信息的有效性和合法性。WalletConnect的开发人员已经承认了知晓这个问题,并正在研究相关解决方案。示例②:通过MetaMask进行智能合约信息网络钓鱼你可能已经注意到,在Metamask批准模态的图标或网站名称下,有另一个视图,显示了一个不固定的字符串例如“Confirm”或“UnknownMethod”。这个UI元素是由Metamask设计的,用于识别相应的交易类型。在呈现交易批准模态时,Metamask会读取智能合约的签名字节,并使用链上方法注册表查询相应的方法名称,如以下代码所示。然而,这也会在模态上创建另一个可以被攻击者控制的UI元素。

奢侈品牌普拉达将推出Timecapsule NFT系列:5月30日消息,意大利时尚奢侈品牌普拉达(PRADA)将于周四(6月2日)推出100个Prada Timecapsule NFT,以配合其最新的Timecapsule服装发布。(Decrypt)[2022/5/31 3:51:31]

MetaMask源码通过签名字节读取智能合约的函数名称

MetaMask的智能合约方法名称说明我们可以看到Metamask上有一个交易请求模态,其被标记为“SecurityUpdate”。攻击者建立了一个钓鱼智能合约,其有一个SecurityUpdate具备支付函数功能,并允许受害者将资金转入该智能合约。攻击者还使用SignatureReg将方法签名注册为人类可读的字符串“SecurityUpdate”中。如前所述,当Metamask解析这个钓鱼智能合约时,它使用函数签名字节查询相应的函数方法,并在批准模态中呈现给用户。从这个智能合约的交易可以看出,这个特定的钓鱼智能合约已经运行了200多天。

钓鱼交易批准模态在上面的例子中,我们展示了钱包上与智能合约信息相关的UI元素是如何被钓鱼攻击者操纵的。虽然我们在这里以Metamask为例,但其他钱包也可能存在类似的漏洞。钱包应用的开发者应该时刻注意监测那些会向用户呈现的内容,并采取预防措施过滤掉可能被用于网络钓鱼攻击的词语。写在最后

在本文中,我们为大家展示了Web3.0货币钱包上不应盲目信任的常见UI组件——模态窗口。模态窗口中的某些UI元素可以被攻击者操纵,以创造出非常「真实且有说服力」的钓鱼陷阱。因此,我们将这种新的网络钓鱼技术命名为ModalPhishin。这种攻击发生的根本原因是钱包应用程序没有彻底验证所呈现的UI元素的合法性。例如,钱包应用程序直接信任来自WalletConnectSDK的元数据,并将其呈现给了用户。WalletConnectSDK也并不验证传入的元数据,这在某些情况下使得呈现的元数据可以被攻击者控制。在Metamask中,我们可以看到类似的攻击原理也被攻击者滥用,在模态窗口中显示欺诈性的智能合约函数方法名称。总体而言,我们认为钱包应用程序的开发者应该始终假设外部传入的数据是不可信的。开发者应该仔细选择向用户展示哪些信息,并验证这些信息的合法性。除此之外,用户也应通过对每个未知的交易请求保持怀疑的态度来守好自己安全上的「一亩三分地」。

标签:APPDAPDAPPMETFRAPPE区块链dapp开发费多少钱区块链dapp开发例子METAB

芝麻开门交易所下载热门资讯
PAC:比特小鹿登陆纳斯达克,上市首日缘何走跌?

4月14日,在行情回暖、香港大会的热切氛围中。加密矿企比特小鹿上市的消息传遍加密世界。“我们与BlueSafari的业务合并的完成是比特小鹿新时代的开始.

1900/1/1 0:00:00
ION:一文探讨如何构建出十亿用户的Web3社交图谱?

随着埃隆-马斯克最近接管了Twitter,关于从大型社交网络迁移到独立或开放的替代方案的讨论已经越来越多,但是所有那些刚开始幻想在加入繁荣的Twitter前居民社区的人.

1900/1/1 0:00:00
ETH:Arthur Hayes:囤了那么久的LDO,我为何全部亏本抛售?

最近,加密研究员ThorHartvigsen总结了过去30天内一些知名风险投资基金、大型投资者以及交易员在加密货币市场上的活动.

1900/1/1 0:00:00
EFI:全面解读不足额抵押贷款:DeFi借贷的下一个圣杯

原文标题:TheHolyGrailofDeFiLending:UndercollateralizedLoans原文译者:JackDing|W3.Hitchhiker原文编辑:Evelyn|W3.

1900/1/1 0:00:00
WEB:圆桌:Web3.0的发展 | Over the Moon

昨天,「OvertheMoon—逐浪Web3」峰会在香港举办,本次活动由MetaStone和Odaily星球日报主办,MixMarvel、AWS协办.

1900/1/1 0:00:00
AGI:一文详解如何获得Magic Eden的钻石奖励和费用折扣?

此前,SOL链上主流NFT市场MagicEden上线Launchpad功能,PANews曾撰文详解其运营状态,为NFT交易平台和用户剖析其可优化的运营方式和投资方式.

1900/1/1 0:00:00