一茬接一茬 Web3.0移動錢包又現獨特釣魚攻擊手法：Modal Phishing_APP:比特幣交易app官網

我們最近發現了一種新型的網絡釣魚技術，可用于在連接的去中心化應用身份方面誤導受害者。

我們將這種新型的網絡釣魚技術命名為ModalPhishing。

攻擊者可以向移動錢包發送偽造的虛假信息冒充合法的DApp，并通過在移動錢包的模態窗口中顯示誤導性信息來誘騙受害者批準交易。這種網絡釣魚技術正在廣泛使用。我們與相應的組件開發人員進行了溝通，并確認他們將發布新的驗證API以降低該風險。

什么是ModalPhishing？在CertiK對移動錢包的安全研究中，我們注意到Web3.0貨幣錢包的某些用戶界面元素可以被攻擊者控制用來進行網絡釣魚攻擊。我們將這種釣魚技術命名為ModalPhishing，因為攻擊者主要針對加密錢包的模態窗口進行釣魚攻擊。

模態是移動應用程序中經常使用的UI元素。模態通常顯示在應用程序主窗口頂部。這樣的設計通常用于方便用戶執行快速操作，如批準/拒絕Web3.0貨幣錢包的交易請求。

Web3.0貨幣錢包上的典型模態設計通常提供供用戶檢查簽名等請求的必要信息，以及批準或拒絕請求的按鈕。

幣印IOU模式遭新加坡仲裁員否決:金色財經報道，一名新加坡仲裁員宣布幣印（Poolin）的 IOU 模式無效，并命令其向客戶返還 88 枚 BTC（約合 150 萬美元）。本周二，Poolin 首席執行官 Kevin Pan 表示，因公司現金流仍不充足，IOU 付款仍未發放。Kevin Pan 預計幣印將于今年上半年向新加坡案原告 Li Bei 進行償付，但仍將取決于幣印的現金流和市場情況。

此前消息，去年 9 月，幣印錢包表示平臺出現流動性緊縮，正極盡全力出具流動性紓解方案，隨后發行六種債務 Token IOU-Tokens 以代表用戶持有的 BTC 等資產，并可以每季度將其轉換為原始資產。[2023/1/7 10:59:06]

真實交易批準模式與網絡釣魚交易批準模式對比

在上方截圖中，我們展示了Metamask上一個常規的交易審批模態窗口是如何出現的。

當一個新的交易請求被連接的去中心化應用程序初始化時，錢包會展示一個新的模態窗口，并要求用戶進行人工確認。

如上圖左側所示，模態窗口通常包含請求者的身份，如網站地址、圖標等。如Metamask這樣的一些錢包也會顯示有關請求的關鍵信息，在實例中我們看到一些UI元素被標記為“Confirm”，以提示用戶這是一個常規的交易請求。

NFT基礎設施項目Galaxis推出無代碼NFT創建平臺測試版本:11月28日消息，NFT基礎設施項目Galaxis推出NFT創建平臺推出無代碼NFT創建平臺僅限邀請參與的測試版本。該平臺允許非開發者用戶創建NFT并通過安全的代幣權限設置來管理社區。Galaxis已與Chainlink、Crossmint、Polygon和ENS合作來增強平臺功能。

據悉，Galaxis是一種無代碼、開箱即用（out-of-the-box ）的NFT工具包，它通過為NFT注入獨特的實用特性、特定于所有者的好處和互動交流機會，轉換和增強了任何創建者和他們的社區之間的關系。（cointelegraph）[2022/11/28 21:07:03]

然而，這些用戶界面元素可以被攻擊者控制以進行ModalPhishing攻擊。在右側的截圖中，我們可以看到攻擊者可以更改交易細節，并將交易請求偽裝成來自“Metamask”的“SecurityUpdate”請求，以誘使用戶批準。

如截圖所示，攻擊者可以操縱多個UI元素。

因此我們將在本文中為大家分享兩個典型案例，并確定那些可被攻擊者控制的UI元素。

詳細信息如下：

路透社：SBF嘗試向沙特主權財富基金和日本野村控股求助:11月16日消息，在幣安創始人CZ于推特上宣布賣出FTT的第二天，SBF告訴高管們，FTX沒錢了。隨后，他們計算出Alameda可以在數小時內出售約30 億美元的資產，SBF開始向Tether求助被拒。此外SBF嘗試尋求從紅杉資本、Apollo Global和TPG Inc等投資者那里籌集70億美元均遭到拒絕。根據SBF發送給顧問的消息，他嘗試求助于日本野村控股和沙特主權財富基金-公共投資基金（PIF）。（路透社）[2022/11/16 13:12:37]

①如果使用WalletConnect協議，攻擊者可以控制DApp信息UI元素。

②攻擊者可以控制某些錢包應用中的智能合約信息UI元素。

攻擊者控制的Modal和相關的信息源示例

示例①：通過WalletConnect進行DApp釣魚攻擊

WalletConnect協議是一個廣受歡迎的開源協議，用于通過二維碼或深度鏈接將用戶的錢包與DApp連接。用戶可以通過WalletConnect協議將他們的錢包與DApp連接起來，然后與該協議進行進行交易或轉賬。

美國八個州對加密借貸平臺 Nexo 采取執法行動:金色財經報道，美國八個州周一宣布，他們將對加密借貸平臺Nexo Group的未注冊、計息加密貨幣產品采取行動。加利福尼亞州、肯塔基州、紐約州、馬里蘭州、俄克拉荷馬州、南卡羅來納州、華盛頓州和佛蒙特州的州監管機構指控 Nexo 向客戶提供生息賬戶，而無需先將其注冊為證券并提供必要的披露。如果無法獲得這些財務報表，州監管機構認為投資者無法做出明智的投資決策。

這些文件還指控 Nexo 歪曲了這些賬戶，并向投資者暗示它是一個獲得許可和注冊的平臺。其中一份文件顯示，這些生息賬戶被稱為“賺取利息產品”，允許投資者將資產存入 Nexo，以換取其存款的高達 36% 的收益率。[2022/9/27 22:32:59]

在Web3.0貨幣錢包和DApp之間的配對過程中，我們注意到Web3.0貨幣錢包會展示一個模態窗口，顯示傳入配對請求的元信息——包括DApp的名稱，網站地址，圖標和描述。Web3.0錢包展示的這些信息和方式根據DApp名稱、圖標和網站地址不同而變化，以供用戶查看。

但是這些信息是DApp提供的，錢包并不驗證其所提供信息是否合法真實。比如在網絡釣魚攻擊中，某雷碧可以假稱為某雪碧，而后在用戶發起交易請求之前誘騙用戶與其連接。

Revolut獲塞浦路斯監管機構批準，將在歐洲經濟區提供加密貨幣服務:金色財經報道，金融科技公司Revolut已獲得塞浦路斯證券交易委員會（CYSEC）的授權，允許其在歐洲經濟區（EEA）提供加密貨幣服務。Revolut表示，它成為第一個被CYSEC授予加密資產服務提供商（CASP）的實體。該授權將使Revolut能夠通過塞浦路斯的一個新的加密資產中心向其在歐洲經濟區的1,700萬客戶提供加密貨幣服務。（CoinDesk）[2022/8/15 12:26:56]

小伙伴們可以復制鏈接到瀏覽器查看CertiK為此做的一個小測試。

在該視頻中，CertiK展示了攻擊者是如何「欺瞞」UniswapDApp的——攻擊者聲稱自己是UniswapDApp，并連接Metamask錢包，以此欺騙用戶批準傳入的交易。

在配對過程中，錢包內顯示的模態窗口呈現了合規UniswapDApp的名稱、網站網址和網站圖標。

由于網址中使用了https方案，所以還顯示了一個掛鎖圖標，這樣顯得模態窗口更為逼真和合法了。在配對過程中，只要受害者想在假Uniswap網站上進行交易操作，攻擊者就可以替換交易請求參數來竊取受害者的資金。

請注意，雖然不同的錢包上的模態設計不同，但攻擊者是始終可以控制元信息的。

下圖展示了當我們將ZenGo和1Inch錢包連接到釣魚網站的DApp時，配對批準模式的樣子。

ModalPhishing：連接到Zengo和1Inch錢包的虛假DApp

現在我們知道了配對和交易模態窗口可以被攻擊者操縱，這樣的攻擊可以被用來讓用戶相信交易請求來自合法的DApp。

如下方截圖所示，我們創建了一個自稱是“Metamask”的虛假DApp，并啟動了一個釣魚智能合約。攻擊者可以在交易批準模態中冒充Metamask或Uniswap的DApp。

如上例所示，被大規模使用的WalletConnect協議并未驗證配對的DApp信息的合法性。被操縱的元信息被錢包應用程序進一步使用并呈現給用戶，這可以被用來進行ModalPhishing。作為一個潛在的解決方案，WalletConnect協議可以提前驗證DApp信息的有效性和合法性。WalletConnect的開發人員已經承認了知曉這個問題，并正在研究相關解決方案。

示例②：通過MetaMask進行智能合約信息網絡釣魚

你可能已經注意到，在Metamask批準模態的圖標或網站名稱下，有另一個視圖，顯示了一個不固定的字符串例如“Confirm”或“UnknownMethod”。這個UI元素是由Metamask設計的，用于識別相應的交易類型。

在呈現交易批準模態時，Metamask會讀取智能合約的簽名字節，并使用鏈上方法注冊表查詢相應的方法名稱，如以下代碼所示。然而，這也會在模態上創建另一個可以被攻擊者控制的UI元素。

?MetaMask源碼通過簽名字節讀取智能合約的函數名稱

?MetaMask的智能合約方法名稱說明

我們可以看到Metamask上有一個交易請求模態，其被標記為“SecurityUpdate”。攻擊者建立了一個釣魚智能合約，其有一個SecurityUpdate具備支付函數功能，并允許受害者將資金轉入該智能合約。

攻擊者還使用SignatureReg將方法簽名注冊為人類可讀的字符串“SecurityUpdate”中。如前所述，當Metamask解析這個釣魚智能合約時，它使用函數簽名字節查詢相應的函數方法，并在批準模態中呈現給用戶。

從這個智能合約的交易可以看出，這個特定的釣魚智能合約已經運行了200多天。

結合這些可控的UI元素，攻擊者可以創建一個非常有說服力的交易請求，該請求顯示為來自“Metamask”的“SecurityUpdate”請求，尋求用戶的批準。

釣魚交易批準模態

在上面的例子中，我們展示了錢包上與智能合約信息相關的UI元素是如何被釣魚攻擊者操縱的。

雖然我們在這里以Metamask為例，但其他錢包也可能存在類似的漏洞。錢包應用的開發者應該時刻注意監測那些會向用戶呈現的內容，并采取預防措施過濾掉可能被用于網絡釣魚攻擊的詞語。

寫在最后

在本文中，我們為大家展示了Web3.0貨幣錢包上不應盲目信任的常見UI組件——模態窗口。

模態窗口中的某些UI元素可以被攻擊者操縱，以創造出非常「真實且有說服力」的釣魚陷阱。因此，我們將這種新的網絡釣魚技術命名為ModalPhishin。

這種攻擊發生的根本原因是錢包應用程序沒有徹底驗證所呈現的UI元素的合法性。

例如，錢包應用程序直接信任來自WalletConnectSDK的元數據，并將其呈現給了用戶。

WalletConnectSDK也并不驗證傳入的元數據，這在某些情況下使得呈現的元數據可以被攻擊者控制。在Metamask中，我們可以看到類似的攻擊原理也被攻擊者濫用，在模態窗口中顯示欺詐性的智能合約函數方法名稱。

總體而言，我們認為錢包應用程序的開發者應該始終假設外部傳入的數據是不可信的。開發者應該仔細選擇向用戶展示哪些信息，并驗證這些信息的合法性。除此之外，用戶也應通過對每個未知的交易請求保持懷疑的態度來守好自己安全上的「一畝三分地」。

Tags：APPDAPPDAPMET比特幣交易app官網dapp幣交易DAPP價格METM幣

萊特幣價格