以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

一茬接一茬,Web3.0移動錢包又現獨特釣魚攻擊手法Modal Phishing_DAPP:區塊鏈dapp開發語言

Author:

Time:1900/1/1 0:00:00

我們最近發現了一種新型的網絡釣魚技術,可用于在連接的去中心化應用身份方面誤導受害者。我們將這種新型的網絡釣魚技術命名為ModalPhishing。攻擊者可以向移動錢包發送偽造的虛假信息冒充合法的DApp,并通過在移動錢包的模態窗口中顯示誤導性信息來誘騙受害者批準交易。這種網絡釣魚技術正在廣泛使用。我們與相應的組件開發人員進行了溝通,并確認他們將發布新的驗證API以降低該風險。什么是ModalPhishing?

在CertiK對移動錢包的安全研究中,我們注意到Web3.0貨幣錢包的某些用戶界面元素可以被攻擊者控制用來進行網絡釣魚攻擊。我們將這種釣魚技術命名為ModalPhishing,因為攻擊者主要針對加密錢包的模態窗口進行釣魚攻擊。模態是移動應用程序中經常使用的UI元素。模態通常顯示在應用程序主窗口頂部。這樣的設計通常用于方便用戶執行快速操作,如批準/拒絕Web3.0貨幣錢包的交易請求。Web3.0貨幣錢包上的典型模態設計通常提供供用戶檢查簽名等請求的必要信息,以及批準或拒絕請求的按鈕。

WOOFi在與Stargate集成后增加對以太坊的跨鏈支持:3月9日消息,去中心化交易平臺WOOFi宣布其跨鏈交易功能已完成測試,在與Stargate集成后增加了對以太坊的跨鏈支持,目前支持以太坊、Arbitrum、Optimism、Avalanche、Polygon、BNB Chain或Fantom上WOO、ETH、USDC、USDT的資產兌換。

下一步,WOOFi還將增加兩個新的跨鏈功能,第一個功能為新增在目標鏈上選擇不同錢包地址接收資金,第二個新功能使用戶在跨鏈時可獲取少量目標鏈的原生代幣。[2023/3/9 12:52:36]

真實交易批準模式與網絡釣魚交易批準模式對比在上方截圖中,我們展示了Metamask上一個常規的交易審批模態窗口是如何出現的。當一個新的交易請求被連接的去中心化應用程序初始化時,錢包會展示一個新的模態窗口,并要求用戶進行人工確認。如上圖左側所示,模態窗口通常包含請求者的身份,如網站地址、圖標等。如Metamask這樣的一些錢包也會顯示有關請求的關鍵信息,在實例中我們看到一些UI元素被標記為“Confirm”,以提示用戶這是一個常規的交易請求。然而,這些用戶界面元素可以被攻擊者控制以進行ModalPhishing攻擊。在右側的截圖中,我們可以看到攻擊者可以更改交易細節,并將交易請求偽裝成來自“Metamask”的“SecurityUpdate”請求,以誘使用戶批準。如截圖所示,攻擊者可以操縱多個UI元素。因此我們將在本文中為大家分享兩個典型案例,并確定那些可被攻擊者控制的UI元素。詳細信息如下:①如果使用WalletConnect協議,攻擊者可以控制DApp信息UI元素。②攻擊者可以控制某些錢包應用中的智能合約信息UI元素。

巴西證券監管機構允許投資基金投資加密貨幣:金色財經報道,巴西證券交易委員會(CVM)周五批準了投資基金在其持有的資產中包括加密貨幣資產的能力。CVM表示,為了成為基金投資組合的一部分,加密資產必須遵循一系列標準,這些標準與即將離任的總統Jair Bolsonaro周四頒布的法律中規定的新監管框架一致。新規則詳細說明,加密資產可以是基金的一部分,只要它們在巴西央行或CVM授權的實體中交易,或者在海外運營的情況下,由當地監管機構進行交易。[2022/12/24 22:04:45]

攻擊者控制的Modal和相關的信息源示例示例①:通過WalletConnect進行DApp釣魚攻擊WalletConnect協議是一個廣受歡迎的開源協議,用于通過二維碼或深度鏈接將用戶的錢包與DApp連接。用戶可以通過WalletConnect協議將他們的錢包與DApp連接起來,然后與該協議進行進行交易或轉賬。在Web3.0貨幣錢包和DApp之間的配對過程中,我們注意到Web3.0貨幣錢包會展示一個模態窗口,顯示傳入配對請求的元信息——包括DApp的名稱,網站地址,圖標和描述。Web3.0錢包展示的這些信息和方式根據DApp名稱、圖標和網站地址不同而變化,以供用戶查看。但是這些信息是DApp提供的,錢包并不驗證其所提供信息是否合法真實。比如在網絡釣魚攻擊中,某雷碧可以假稱為某雪碧,而后在用戶發起交易請求之前誘騙用戶與其連接。小伙伴們可以復制鏈接到瀏覽器查看CertiK為此做的一個小測試。在該視頻中,CertiK展示了攻擊者是如何「欺瞞」UniswapDApp的——攻擊者聲稱自己是UniswapDApp,并連接Metamask錢包,以此欺騙用戶批準傳入的交易。在配對過程中,錢包內顯示的模態窗口呈現了合規UniswapDApp的名稱、網站網址和網站圖標。由于網址中使用了https方案,所以還顯示了一個掛鎖圖標,這樣顯得模態窗口更為逼真和合法了。在配對過程中,只要受害者想在假Uniswap網站上進行交易操作,攻擊者就可以替換交易請求參數來竊取受害者的資金。請注意,雖然不同的錢包上的模態設計不同,但攻擊者是始終可以控制元信息的。下圖展示了當我們將ZenGo和1Inch錢包連接到釣魚網站的DApp時,配對批準模式的樣子。

特斯拉CEO埃隆·馬斯克宣布出售特斯拉股票:11月9日,據市場消息:特斯拉CEO埃隆·馬斯克宣布出售特斯拉股票。(金十)[2022/11/9 12:36:36]

ModalPhishing:連接到Zengo和1Inch錢包的虛假DApp現在我們知道了配對和交易模態窗口可以被攻擊者操縱,這樣的攻擊可以被用來讓用戶相信交易請求來自合法的DApp。如下方截圖所示,我們創建了一個自稱是“Metamask”的虛假DApp,并啟動了一個釣魚智能合約。攻擊者可以在交易批準模態中冒充Metamask或Uniswap的DApp。

如上例所示,被大規模使用的WalletConnect協議并未驗證配對的DApp信息的合法性。被操縱的元信息被錢包應用程序進一步使用并呈現給用戶,這可以被用來進行ModalPhishing。作為一個潛在的解決方案,WalletConnect協議可以提前驗證DApp信息的有效性和合法性。WalletConnect的開發人員已經承認了知曉這個問題,并正在研究相關解決方案。示例②:通過MetaMask進行智能合約信息網絡釣魚你可能已經注意到,在Metamask批準模態的圖標或網站名稱下,有另一個視圖,顯示了一個不固定的字符串例如“Confirm”或“UnknownMethod”。這個UI元素是由Metamask設計的,用于識別相應的交易類型。在呈現交易批準模態時,Metamask會讀取智能合約的簽名字節,并使用鏈上方法注冊表查詢相應的方法名稱,如以下代碼所示。然而,這也會在模態上創建另一個可以被攻擊者控制的UI元素。

加拿大銀行:擁有比特幣的加拿大公民人數從2018年的5%上升到2021年的13%:金色財經報道,加拿大銀行稱,擁有比特幣的加拿大公民人數從2018年的5%上升到2021年的13%。[2022/10/14 14:26:49]

MetaMask源碼通過簽名字節讀取智能合約的函數名稱

MetaMask的智能合約方法名稱說明我們可以看到Metamask上有一個交易請求模態,其被標記為“SecurityUpdate”。攻擊者建立了一個釣魚智能合約,其有一個SecurityUpdate具備支付函數功能,并允許受害者將資金轉入該智能合約。攻擊者還使用SignatureReg將方法簽名注冊為人類可讀的字符串“SecurityUpdate”中。如前所述,當Metamask解析這個釣魚智能合約時,它使用函數簽名字節查詢相應的函數方法,并在批準模態中呈現給用戶。從這個智能合約的交易可以看出,這個特定的釣魚智能合約已經運行了200多天。

EthereumFair 發布新的社區激勵方案,將拿出 400萬個 ETF 支持礦工:9月16日消息,以太坊分叉鏈 EthereumFair 發布新的社區激勵方案,表示將之前轉向POS信標鏈的 1300 多萬個ETH 對整個社區與生態進行重新分配。

據悉,EthereumFair 將拿出400萬個 ETF 支持礦工,200萬個 ETF 給交易所;將多簽地址存放500萬個 ETF 支持生態建設,成立ETF DAO;對于 ClassZZ 技術社區,將根據地址余額排名空投100萬個 ETF 的所有持幣地址;對于社區建設,將 ETF DAO 多簽地址存放100萬個ETF在運營與社區方面進行支出。[2022/9/16 7:00:20]

釣魚交易批準模態在上面的例子中,我們展示了錢包上與智能合約信息相關的UI元素是如何被釣魚攻擊者操縱的。雖然我們在這里以Metamask為例,但其他錢包也可能存在類似的漏洞。錢包應用的開發者應該時刻注意監測那些會向用戶呈現的內容,并采取預防措施過濾掉可能被用于網絡釣魚攻擊的詞語。寫在最后

在本文中,我們為大家展示了Web3.0貨幣錢包上不應盲目信任的常見UI組件——模態窗口。模態窗口中的某些UI元素可以被攻擊者操縱,以創造出非常「真實且有說服力」的釣魚陷阱。因此,我們將這種新的網絡釣魚技術命名為ModalPhishin。這種攻擊發生的根本原因是錢包應用程序沒有徹底驗證所呈現的UI元素的合法性。例如,錢包應用程序直接信任來自WalletConnectSDK的元數據,并將其呈現給了用戶。WalletConnectSDK也并不驗證傳入的元數據,這在某些情況下使得呈現的元數據可以被攻擊者控制。在Metamask中,我們可以看到類似的攻擊原理也被攻擊者濫用,在模態窗口中顯示欺詐性的智能合約函數方法名稱。總體而言,我們認為錢包應用程序的開發者應該始終假設外部傳入的數據是不可信的。開發者應該仔細選擇向用戶展示哪些信息,并驗證這些信息的合法性。除此之外,用戶也應通過對每個未知的交易請求保持懷疑的態度來守好自己安全上的「一畝三分地」。

Tags:DAPPDAPAPPMET區塊鏈dapp開發語言YDAPPWrapped WitMETAR

酷幣交易所
CXC開啟的鏈商時代_CXC:DRI

CXC公鏈上線首日便已突破了660個btc參與對撞。各大媒體爭相報道,成為當下最火熱話題。CXC公鏈上線的火爆是可以預估的。首先,在區塊鏈中最看重的技術領域,CXC無疑擁有很重的話語權.

1900/1/1 0:00:00
時隔10個月BTC重回3萬美元,牛市要開啟了嗎?_比特幣:STR

自去年6月10日跌下3萬美元關口后,時隔10個月,比特幣收復失地。OKX歐易行情顯示,今天上午比特幣最高上漲至30500美元,暫報30200美元,24小時漲幅6.3%,年內漲幅82%.

1900/1/1 0:00:00
Arthur Hayes: 「去美元化」進行時,誰能取代美元?

跟著我心中默念:“我不會成為別人的退出流動性!”成為別人的“退出流動性”,意味著你是那些在聰明或有關系的人在賣出時仍在購買或持有的笨蛋之一.

1900/1/1 0:00:00
淺談帳戶抽象將如何推動DeFi的大規模采用?_DAP:Coinweb

“我們還處于早期階段”有點成為了一種Meme,但不可否認的是這是事實。試著讓100個人說出以太坊上的五個應用程序。95%的人都說不出來,有些人甚至不知道以太坊是什么.

1900/1/1 0:00:00
淺析巨鯨和VC的鏈上動態與Token價格波動的聯系_COIN:COI

加密研究員ThorHartvigsen總結了最近30天內一些知名風險投資基金、投資者以及交易者在加密貨幣市場上的活動.

1900/1/1 0:00:00
HARA:索尼前總裁領銜,Jasmy將開發世界第一臺區塊鏈PC_SHA:SHARO

今天下午,由MetaStone和Odaily星球日報主辦,MixMarvel、AWS協辦,CREGIS、Jasmy、HOPE、Souffl3、LDCapitalUS、ArkStreamCapit.

1900/1/1 0:00:00
ads