Web3.0 Ví tiền công nghệ lừa đảo mới: Tấn công lừa đảo theo mô hình

Gần đây, một công nghệ lừa đảo mới đã được phát hiện, nó có thể khiến người dùng nhầm lẫn trong quá trình xác thực danh tính khi kết nối với ứng dụng phi tập trung (DApp). Chúng tôi đã đặt tên cho công nghệ lừa đảo mới này là "tấn công lừa đảo theo mô hình" (Modal Phishing).

Kẻ tấn công đã gửi thông tin giả mạo đến ví tiền di động, giả danh DApp hợp pháp, và hiển thị nội dung gây nhầm lẫn trong cửa sổ mô-đun của ví tiền, khiến người dùng chấp thuận giao dịch. Kỹ thuật này đang được sử dụng rộng rãi. Các nhà phát triển liên quan đã xác nhận sẽ ra mắt API xác thực mới để giảm thiểu rủi ro.

Tấn công lừa đảo mô hình là gì?

Trong nghiên cứu về sự an toàn của ví tiền di động, chúng tôi nhận thấy rằng một số yếu tố giao diện người dùng của ví tiền mã hóa Web3.0 có thể bị kẻ tấn công thao túng để thực hiện lừa đảo. Được gọi là lừa đảo theo mô hình, vì cuộc tấn công chủ yếu nhắm vào cửa sổ mô hình của ví tiền mã hóa.

Modal ( hoặc cửa sổ modal ) là các yếu tố UI thường được sử dụng trong ứng dụng di động, thường hiển thị ở đầu cửa sổ chính, được dùng để thực hiện các thao tác nhanh chóng, chẳng hạn như phê duyệt/từ chối yêu cầu giao dịch từ Ví tiền Web3.0. Thiết kế modal Ví tiền Web3.0 điển hình thường cung cấp thông tin chi tiết về giao dịch và các nút phê duyệt/từ chối.

Tuy nhiên, những yếu tố giao diện người dùng này có thể bị kẻ tấn công kiểm soát để thực hiện lừa đảo theo mô hình. Kẻ tấn công có thể thay đổi chi tiết giao dịch, giả mạo yêu cầu thành các bản cập nhật an toàn từ nguồn đáng tin cậy, dụ dỗ người dùng phê duyệt.

Trường hợp điển hình

( Trường hợp 1: Tấn công lừa đảo DApp thông qua Wallet Connect

Ví tiền Connect là một giao thức mã nguồn mở phổ biến, dùng để kết nối ví của người dùng với DApp thông qua mã QR hoặc liên kết sâu. Trong quá trình ghép đôi, ví sẽ hiển thị một cửa sổ mô hình, hiển thị tên DApp, địa chỉ website, biểu tượng và các thông tin khác.

Tuy nhiên, thông tin này được cung cấp bởi DApp, ví tiền không xác minh tính xác thực của nó. Kẻ tấn công có thể giả mạo DApp nổi tiếng, lừa người dùng kết nối và phê duyệt giao dịch.

![Khám phá những trò lừa đảo mới của Ví tiền Web3.0: Tấn công lừa đảo theo kiểu mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-dafdce504880b12244d287e60c0fd498.webp###

Thiết kế chế độ của các ví tiền khác nhau có thể khác nhau, nhưng kẻ tấn công luôn có thể kiểm soát thông tin meta. Kẻ tấn công có thể tạo ra DApp giả mạo, giả mạo ứng dụng nổi tiếng trong chế độ phê duyệt giao dịch.

( Trường hợp 2: Lừa đảo thông tin hợp đồng thông minh qua MetaMask

Trong mô-đun phê duyệt giao dịch của MetaMask, ngoài thông tin DApp, còn hiển thị loại giao dịch, như "Xác nhận" hoặc "Phương thức không xác định". Phần tử giao diện người dùng này được lấy từ việc đọc byte chữ ký của hợp đồng thông minh và truy vấn bảng đăng ký phương thức trên chuỗi.

Kẻ tấn công có thể lợi dụng cơ chế này để tạo ra các hợp đồng thông minh lừa đảo với tên phương thức gây hiểu lầm. Ví dụ, đăng ký tên phương thức là "SecurityUpdate", khiến yêu cầu giao dịch trông giống như đến từ bản cập nhật bảo mật của MetaMask.

![Tiết lộ về hình thức lừa đảo mới của Ví tiền Web3.0: Tấn công Lừa đảo mô hình Modal Phishing])https://img-cdn.gateio.im/webp-social/moments-e3d17d2ea42349c1331580d6cc4b919c.webp###

Đề xuất phòng ngừa

1. Các nhà phát triển ví tiền nên luôn giả định rằng dữ liệu bên ngoài không đáng tin cậy, cẩn thận chọn lọc thông tin để hiển thị cho người dùng và xác minh tính hợp pháp của nó.

2. Giao thức Wallet Connect có thể xem xét xác minh trước tính hợp lệ và hợp pháp của thông tin DApp.

3. Ứng dụng Ví tiền nên theo dõi và lọc các từ có thể được sử dụng cho các cuộc tấn công lừa đảo.

4. Người dùng nên cảnh giác với mỗi yêu cầu giao dịch không xác định và xác minh kỹ các chi tiết giao dịch.

Cuộc tấn công lừa đảo mô hình đã hé lộ những nguy cơ tiềm ẩn trong thiết kế giao diện người dùng ví tiền Web3.0. Các nhà phát triển và người dùng nên nâng cao cảnh giác, cùng nhau bảo vệ an toàn cho hệ sinh thái Web3.