我们最近发现了一种新的网络钓鱼技术,它可以用来误导受害者关于连接的分布式应用程序(DApp)的身份。
我们将这种新的网络钓鱼技术命名为模态网络钓鱼。
攻击者可以向移动钱包发送伪造的虚假信息,伪装成合法的DApp,并通过在移动钱包的模态窗口中显示误导信息来欺骗受害者批准交易。这种网络钓鱼技术正被广泛使用。我们与相应的组件开发人员进行了沟通,并确认他们将发布新的验证API来降低这一风险。
什么是模态钓鱼?在CertiK对手机钱包安全性的研究中,我们注意到Web3.0金钱钱包的一些用户界面(UI)元素可以被攻击者控制,进行钓鱼攻击。我们将这种网络钓鱼技术命名为模态网络钓鱼,因为攻击者主要针对加密钱包的模态窗口。
模态(或模态窗口)是移动应用程序中经常使用的UI元素。模态通常显示在应用程序主窗口的顶部。这种设计通常用于方便用户进行快捷操作,比如批准/拒绝Web3.0钱钱包的交易请求。
Web3.0钱夹上典型的模态设计通常为用户提供检查签名和其他请求的必要信息,以及批准或拒绝请求的按钮。
真实交易批准模式和网络钓鱼交易批准模式的比较在上面的截图中,我们展示了常规交易批准模式窗口如何出现在Metamask上。
当连接的分散式应用程序(DApp)发起新的交易请求时,钱包将显示一个新的模式窗口,并要求用户手动确认。
如左图所示,模态窗口通常包含请求者的身份,如网站地址(在本例中为localhost)、图标等。有些钱包,如Metamask,也显示关于请求的关键信息。在示例中,我们看到一些UI元素被标记为“Confirm ”,以提醒用户这是一个常规的事务请求。
但是,攻击者可以控制这些用户界面元素来实施模式网络钓鱼攻击。在右边的截图中,我们可以看到攻击者可以更改交易细节,并将交易请求伪装成来自“Metamask”的“安全更新”请求,以诱导用户批准。
如屏幕截图所示,攻击者可以操纵多个UI元素。
因此,在本文中,我们将分享两个典型案例,并识别那些可以被攻击者控制的UI元素。
详情如下:
①如果使用钱包连接协议,攻击者可以控制UI元素(名称、图标等。)的DApp信息。
②攻击者可以控制某些钱包应用中智能合约信息的UI元素。
攻击者控制的模式和相关信息源(DApp信息和方法名称)示例①:通过Wallet Connect的DApp钓鱼攻击。
钱包连接协议是一种流行的开源协议,用于通过二维码或深度链接将用户的钱包与DApp连接起来。用户可以通过钱包连接协议将他们的钱包与DApp连接,然后使用该协议进行交易或转账。
在Web3.0金钱钱包与DApp的配对过程中,我们注意到Web3.0金钱钱包会显示一个模态窗口,显示传入配对请求的元信息——包括DApp的姓名、网址、图标和描述。Web3.0钱包显示的信息和方式会根据DApp的名称、图标和网址而有所不同,供用户查看。
但是,这些信息是由DApp提供的,钱包不验证其提供的信息是否合法和真实。例如,在网络钓鱼攻击中,可以将一个Sprite错误地称为Sprite(都是DApp),然后在用户发起交易请求之前,欺骗用户与其连接。
小伙伴们可以* *链接【https://www。* * com/watch?V=x6muJmDBC3o]去浏览器看看CertiK为此做的一个小测试。
在这个视频中,CertiK展示了攻击者如何“欺骗”Uniswap DApp——攻击者自称是uni swap DApp,并连接Metamask钱包,以欺骗用户批准到来的交易。
在配对过程中,钱包中显示的模式窗口会显示兼容Uniswap DApp的名称、网站地址和网站图标。
因为URL中使用了https方案,所以还会显示一个挂锁图标,这使得模态窗口更加真实合法。在匹配过程中,只要受害者想在假冒的Uniswap网站上进行交易,攻击者就可以替换交易请求参数(如目的地址、交易金额)来盗取受害者的资金。
注意,尽管不同钱包上的模态设计不同,但攻击者总是可以控制元信息。
下图显示了当我们将ZenGo和1Inch钱包连接到钓鱼网站的DApp时,匹配的批准模式是什么样子的。
模态钓鱼:一个假DApp连接到Zengo和1Inch钱包。现在我们知道匹配和交易模式窗口可以被攻击者操纵,这种攻击可以用来让用户相信交易请求来自合法的DApp。
如下面的截图所示,我们创建了一个自称为“Metamask”的假DApp,并开始了一个钓鱼智能合约。攻击者可以在事务批准模式下冒充Uniswap的元掩码或DApp。
如上例所示,广泛使用的钱包连接协议不验证配对DApp信息的合法性。* *钱包应用程序进一步使用垂直元信息并将其呈现给用户,这可用于模态网络钓鱼。作为一种潜在的解决方案,钱包连接协议可以提前验证DApp信息的有效性和合法性。Wallet Connect的开发者已经承认知道这个问题,正在研究相关解决方案。
例②:通过MetaMask钓鱼智能合约信息。
你可能注意到了,在Metamask审批模式的图标或网站名称下,有另一个视图,显示的是“确认”或“未知方法”等不固定的字符串。这个UI元素由Metamask设计,用于标识相应的事务类型。
当出现事务批准模式时,Metamask读取智能协定的签名字节,并使用链上方法注册表来查询相应的方法名,如下面的代码所示。但是,这也将创建另一个可被攻击者控制的UI元素。
MetaMask源代码通过签名字节读取智能合约的函数名。
MetaMask的智能合约方法名显示,我们可以看到Metamask上有一个事务请求模式,标记为“安全更新”。攻击者建立一个钓鱼智能合同,该合同具有带支付功能的SecurityUpdate,并允许受害者将资金转入该智能合同。
攻击者还使用SignatureReg在人类可读的字符串“SecurityUpdate”中注册方法签名。如上所述,Metamask在解析这个钓鱼智能合约时,使用函数签名字节查询对应的函数方法,并以审批模式呈现给用户。
从这个智能合约的交易可以看出,这个特定的钓鱼智能合约已经运行了200多天。
结合这些可控的UI元素,攻击者可以创建一个非常令人信服的事务请求,该请求显示为来自“Metamask”的“SecurityUpdate”请求,以获得用户的批准。
钓鱼交易批准模式在上面的示例中,我们展示了与钱包上的智能合同信息相关的UI元素是如何被钓鱼攻击者操纵的。
虽然我们这里以Metamask为例,但是其他钱包可能也有类似的漏洞。钱包应用程序的开发人员应始终注意监控将呈现给用户的内容,并采取预防措施过滤掉可能用于网络钓鱼攻击的词语。
最后,在本文中,我们向您展示了一个在Web3.0 money wallet上不应该盲目信任的常见UI组件——模态窗口。
攻击者可以操纵模式窗口中的一些UI元素来创建一个非常“真实可信”的钓鱼陷阱。因此,我们将这种新的网络钓鱼技术命名为模态网络钓鱼攻击。
这种攻击的根本原因是钱包应用程序没有彻底验证所呈现的UI元素的合法性。
例如,钱包应用程序直接信任来自Wallet Connect SDK的元数据,并将其呈现给用户。
Wallet Connect SDK也不验证传入的元数据,在某些情况下,这使得攻击者可以控制呈现的元数据。在Metamask中,我们可以看到类似的攻击原理也被攻击者滥用,欺诈性的智能合约函数方法名称显示在模态窗口中。
一般来说,我们认为钱包应用程序的开发者应该始终假设从外部传入的数据是不可信的。开发者应该谨慎选择向用户展示什么信息,并验证这些信息的合法性。此外,用户也应该对每一个未知的交易请求持怀疑态度,以保持自身的安全。
本网站声明:网站内容来源于网络。如有侵权,请联系我们,我们会及时处理。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信,我们会及时处理和回复。
原文地址"什么是移动钱包,移动端钱包":http://www.ljycsb.cn/qukuailian/227019.html。
微信扫描二维码投放广告
▲长按图片识别二维码
