月亮链 月亮链
Ctrl+D收藏月亮链

APP:一茬接一茬 Web3.0移动钱包又现独特钓鱼攻击手法:Modal Phishing_Metakillers

作者:

时间:1900/1/1 0:00:00

我们最近发现了一种新型的网络钓鱼技术,可用于在连接的去中心化应用(DApp)身份方面误导受害者。

我们将这种新型的网络钓鱼技术命名为Modal Phishing(模态钓鱼攻击)。

攻击者可以向移动钱包发送伪造的虚假信息冒充合法的DApp,并通过在移动钱包的模态窗口中显示误导性信息来诱受害者批准交易。这种网络钓鱼技术正在广泛使用。我们与相应的组件开发人员进行了沟通,并确认他们将发布新的验证API以降低该风险。

什么是Modal Phishing?在CertiK对移动钱包的安全研究中,我们注意到Web3.0货币钱包的某些用户界面(UI)元素可以被攻击者控制用来进行网络钓鱼攻击。我们将这种钓鱼技术命名为Modal Phishing,因为攻击者主要针对加密钱包的模态窗口进行钓鱼攻击。

模态(或模态窗口)是移动应用程序中经常使用的UI元素。模态通常显示在应用程序主窗口顶部。这样的设计通常用于方便用户执行快速操作,如批准/拒绝Web3.0货币钱包的交易请求。

Web3.0货币钱包上的典型模态设计通常提供供用户检查签名等请求的必要信息,以及批准或拒绝请求的按钮。

第二季度Flow区块链每日独立活跃钱包增至13,169个,同比增长1.5%:金色财经报道,根据DappRadar的报告,Flow区块链的每日独立活跃钱包(UAW)在2023年第二季度平均增至13,169个,比2023年第一季度增长1.5%。这反映了用户基础的扩大、参与度的提高和交易效率的提高。

然而,Flow生态系统也未能幸免于NFT市场的整体萎缩,NFT UAW从2023年第一季度的6,294个减少到 2023年第二季度的4,665个,减少了26%。同期交易量下降了39%,销售额从2350万美元降至1440万美元,NBA Top Shot和NFL All Day 仍是Flow区块链上领先的NFT市场,NBA Top Shot在DappRadar跟踪的所有NFT中排名第四。[2023/7/28 16:03:28]

真实交易批准模式与网络钓鱼交易批准模式对比

在上方截图中,我们展示了Metamask上一个常规的交易审批模态窗口是如何出现的。

当一个新的交易请求被连接的去中心化应用程序(DApp)初始化时,钱包会展示一个新的模态窗口,并要求用户进行人工确认。

如上图左侧所示,模态窗口通常包含请求者的身份,如网站地址(此例中为localhost)、图标等。如Metamask这样的一些钱包也会显示有关请求的关键信息,在实例中我们看到一些UI元素被标记为“Confirm”,以提示用户这是一个常规的交易请求。

1inch:已弃用UI界面中的池和farming功能:金色财经报道,1inch Network通知用户,已完全弃用用户界面中的池和farming功能,用户仍然可以轻松地从池中提取所有提供的资产,但不再可能在池中添加任何流动性,用户的所有资金仍然安全。[2023/7/21 11:07:54]

然而,这些用户界面元素可以被攻击者控制以进行Modal Phishing攻击。在右侧的截图中,我们可以看到攻击者可以更改交易细节,并将交易请求伪装成来自“Metamask”的“Security Update”请求,以诱使用户批准。

如截图所示,攻击者可以操纵多个UI元素。

因此我们将在本文中为大家分享两个典型案例,并确定那些可被攻击者控制的UI元素。

详细信息如下:

① 如果使用Wallet Connect协议,攻击者可以控制DApp信息UI元素(名称、图标等) 。

② 攻击者可以控制某些钱包应用中的智能合约信息UI元素。

攻击者控制的Modal和相关的信息源(DApp信息和方法名称)示例

加密游戏平台Oh Baby Games宣布完成600万美元融资:金色财经报道,加密游戏平台Oh Baby Games宣布完成600万美元的种子融资。?该轮融资由eGirl Capital和Synergis Capital共同牵头,加密游戏DAO Merit Circle也参与其中。一些著名的天使投资人也参与了这轮融资,包括Twitch联合创始人Kevin Lin、cl207和 inversebrah。

第一款发布的游戏名为What The Kart,是传统赛车游戏的衍生版。此版本之后将推出Rugpull Guys和一款平台格斗游戏。Oh Baby Games 计划推出跨游戏收藏品作为其推出战略的一部分,并在 2023 年推出这些游戏。[2023/1/31 11:37:36]

示例①:通过Wallet Connect进行DApp钓鱼攻击

Wallet Connect协议是一个广受欢迎的开源协议,用于通过二维码或深度链接将用户的钱包与DApp连接。用户可以通过Wallet Connect协议将他们的钱包与DApp连接起来,然后与该协议进行进行交易或转账。

在Web3.0货币钱包和DApp之间的配对过程中,我们注意到Web3.0货币钱包会展示一个模态窗口,显示传入配对请求的元信息——包括DApp的名称,网站地址,图标和描述。Web3.0钱包展示的这些信息和方式根据DApp名称、图标和网站地址不同而变化,以供用户查看。

Lido将开放xcDOT质押量及验证节点上限:7月15日消息,Lido Finance的审计机构MixBytes表示,Lido将进入xcDOT质押服务的第二阶段,该阶段将开放质押数量与验证节点数量上限、实施动态提名模型以提高收益率、推出去中心化激励预言机以及使用多重签名管理合约更新。[2022/7/15 2:15:36]

但是这些信息是DApp提供的,钱包并不验证其所提供信息是否合法真实。比如在网络钓鱼攻击中,某雷碧可以假称为某雪碧(均为DApp),而后在用户发起交易请求之前诱用户与其连接。

小伙伴们可以复制链接[https://www.youtube.com/watch?v=x6muJmDBC3o]到浏览器查看CertiK为此做的一个小测试。

在该视频中,CertiK展示了攻击者是如何「欺瞒」Uniswap DApp的——攻击者声称自己是Uniswap DApp,并连接Metamask钱包,以此用户批准传入的交易。

在配对过程中,钱包内显示的模态窗口呈现了合规Uniswap DApp的名称、网站网址和网站图标。

由于网址中使用了https方案,所以还显示了一个挂锁图标,这样显得模态窗口更为逼真和合法了。在配对过程中,只要受害者想在假Uniswap网站上进行交易操作,攻击者就可以替换交易请求参数(如目的地地址和交易金额)来窃取受害者的资金。

Gloria Zhao成为第一位女性比特币核心维护者:7月9日消息,Gloria Zhao成为第六位拥有Bitcoin Core提交权限的开发人员,也是第一位拥有该权限的女性开发人员。据悉,Gloria Zhao 2020年毕业于加州大学伯克利分校计算机科学专业。她是英国非政府组织Brink的研究员。

此前消息,比特币核心开发人员PieterWuille放弃其维护权限,但仍会参与项目的审计和代码贡献。[2022/7/9 2:02:02]

请注意,虽然不同的钱包上的模态设计不同,但攻击者是始终可以控制元信息的。

下图展示了当我们将ZenGo和1Inch钱包连接到钓鱼网站的DApp时,配对批准模式的样子。

Modal Phishing:连接到Zengo和1Inch钱包的虚假DApp

现在我们知道了配对和交易模态窗口可以被攻击者操纵,这样的攻击可以被用来让用户相信交易请求来自合法的DApp。

如下方截图所示,我们创建了一个自称是“Metamask”的虚假DApp,并启动了一个钓鱼智能合约。攻击者可以在交易批准模态中冒充Metamask或Uniswap的DApp。

如上例所示,被大规模使用的Wallet Connect协议并未验证配对的DApp信息的合法性。被操纵的元信息被钱包应用程序进一步使用并呈现给用户,这可以被用来进行Modal Phishing。作为一个潜在的解决方案,Wallet Connect协议可以提前验证DApp信息的有效性和合法性。Wallet Connect的开发人员已经承认了知晓这个问题,并正在研究相关解决方案。

你可能已经注意到,在Metamask批准模态的图标或网站名称下,有另一个视图,显示了一个不固定的字符串例如“Confirm”或“Unknown Method”。这个UI元素是由Metamask设计的,用于识别相应的交易类型。

在呈现交易批准模态时,Metamask会读取智能合约的签名字节,并使用链上方法注册表查询相应的方法名称,如以下代码所示。然而,这也会在模态上创建另一个可以被攻击者控制的UI元素。

 MetaMask源码通过签名字节读取智能合约的函数名称

 MetaMask的智能合约方法名称说明

我们可以看到Metamask上有一个交易请求模态,其被标记为“Security Update”。攻击者建立了一个钓鱼智能合约,其有一个SecurityUpdate具备支付函数功能,并允许受害者将资金转入该智能合约。

攻击者还使用SignatureReg将方法签名注册为人类可读的字符串“SecurityUpdate”中。如前所述,当Metamask解析这个钓鱼智能合约时,它使用函数签名字节查询相应的函数方法,并在批准模态中呈现给用户。

从这个智能合约的交易可以看出,这个特定的钓鱼智能合约已经运行了200多天。

结合这些可控的UI元素,攻击者可以创建一个非常有说服力的交易请求,该请求显示为来自“Metamask”的“SecurityUpdate”请求,寻求用户的批准。

钓鱼交易批准模态

在上面的例子中,我们展示了钱包上与智能合约信息相关的UI元素是如何被钓鱼攻击者操纵的。

虽然我们在这里以Metamask为例,但其他钱包也可能存在类似的漏洞。钱包应用的开发者应该时刻注意监测那些会向用户呈现的内容,并采取预防措施过滤掉可能被用于网络钓鱼攻击的词语。

模态窗口中的某些UI元素可以被攻击者操纵,以创造出非常「真实且有说服力」的钓鱼陷阱。因此,我们将这种新的网络钓鱼技术命名为Modal Phishin(模态钓鱼攻击)。

这种攻击发生的根本原因是钱包应用程序没有彻底验证所呈现的UI元素的合法性。

例如,钱包应用程序直接信任来自Wallet Connect SDK的元数据,并将其呈现给了用户。

Wallet Connect SDK也并不验证传入的元数据,这在某些情况下使得呈现的元数据可以被攻击者控制。在Metamask中,我们可以看到类似的攻击原理也被攻击者滥用,在模态窗口中显示欺诈性的智能合约函数方法名称。

总体而言,我们认为钱包应用程序的开发者应该始终假设外部传入的数据是不可信的。开发者应该仔细选择向用户展示哪些信息,并验证这些信息的合法性。除此之外,用户也应通过对每个未知的交易请求保持怀疑的态度来守好自己安全上的「一亩三分地」。

CertiK中文社区

企业专栏

阅读更多

金色财经 善欧巴

Chainlink预言机

白话区块链

金色早8点

Odaily星球日报

欧科云链

深潮TechFlow

BTCStudy

MarsBit

Arcane Labs

标签:APPDAPPDAPMET币赢网app下载dapp币行情dap币是什么币Metakillers

币安app官网下载热门资讯
BLU:“麻吉大哥”黄立成没躲过Blur空投陷阱_NBS价格

“麻吉大哥”黄立成“退出NFT圈”的消息,不仅将自己推上了风口浪尖,也再次将NFT新秀交易平台Blur送上了口水台.

1900/1/1 0:00:00
ETH:机构质押者大量涌入 数据解读以太坊上海升级10天后发生了什么?_iCEX价格

作者:21Shares分析师Tom Wan以太坊上海升级已过去10天有余,当前网络上究竟发生了什么变化呢?21Shares研究分析师Tom Wan用数据进行了解读分析.

1900/1/1 0:00:00
比特币:金色早报 | 安全团队:SushiSwap项目疑似被攻击 损失约334万美元_ETH

▌安全团队:SushiSwap项目疑似被攻击,损失约334万美元金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示.

1900/1/1 0:00:00
TOKE:对话加密者:如何保护自己的加密资产?_TOKEN

原文作者:Rekt Fencer,加密研究员原文编译:Leo,BlockBeats钱包是 Web 3 用户最基础的设施,但无论大家多么谨慎,还是会被一些网站掌握钱包的私密数据.

1900/1/1 0:00:00
GAS:浅析zkSync的费用机制:用户如何节省交易成本?_GASC价格

原文作者:AlΞx Wacy原文编译:Luffy,Foresight NewszkSync 生态系统正在快速增长,但也面临着一个障碍:Gas 价格上涨.

1900/1/1 0:00:00
OIN:Coinbase最新季度财报背后:监管困境和可能的未来_Bitcoin E-wallet

原文作者:西昻翔,ChainCatcher作为美国头部合规交易所,Coinbase 代表了该国政府对加密行业的容忍度界限.

1900/1/1 0:00:00