Công nghệ lừa đảo mạng mới của ví tiền di động Web3.0: Tấn công lừa đảo mô hình

Gần đây, chúng tôi đã phát hiện ra một công nghệ lừa đảo mới nhắm vào Ví tiền di động Web3.0, có thể khiến người dùng tiết lộ thông tin danh tính khi kết nối với ứng dụng phi tập trung (DApp). Chúng tôi đã đặt tên cho phương thức tấn công mới này là "tấn công lừa đảo mô hình" (Modal Phishing).

Kẻ tấn công giả mạo DApp hợp pháp bằng cách gửi thông tin giả mạo đến ví tiền di động, và hiển thị nội dung gây hiểu lầm trong cửa sổ mô-đun của ví, dụ dỗ người dùng phê duyệt giao dịch. Kỹ thuật lừa đảo này đang được sử dụng rộng rãi. Các nhà phát triển thành phần liên quan đã xác nhận sẽ phát hành API xác thực mới để giảm thiểu rủi ro.

Nguyên lý của cuộc tấn công lừa đảo mô-đun

Trong nghiên cứu về bảo mật ví di động, chúng tôi nhận thấy rằng một số giao diện người dùng của ví Web3.0 (UI) có thể bị kẻ tấn công kiểm soát để thực hiện lừa đảo. Kỹ thuật này được gọi là lừa đảo theo kiểu modal, vì kẻ tấn công chủ yếu nhắm vào cửa sổ modal của ví tiền điện tử.

Cửa sổ mô-đun là một phần tử UI phổ biến trong ứng dụng di động, thường hiển thị ở đầu cửa sổ chính, dùng để thực hiện các thao tác nhanh như chấp thuận/từ chối yêu cầu giao dịch. Thiết kế mô-đun điển hình của Ví tiền Web3.0 bao gồm chi tiết giao dịch và nút chấp thuận/từ chối, để người dùng kiểm tra và thao tác.

Tuy nhiên, các yếu tố UI này có thể bị kẻ tấn công kiểm soát. Ví dụ, kẻ tấn công có thể thay đổi chi tiết giao dịch, giả mạo yêu cầu là "cập nhật bảo mật" từ "Metamask" để khiến người dùng chấp thuận.

Các trường hợp tấn công điển hình

1. Thực hiện lừa đảo DApp qua Wallet Connect

Wallet Connect là một giao thức mã nguồn mở phổ biến, được sử dụng để kết nối ví của người dùng với DApp. Trong quá trình ghép nối, ví sẽ hiển thị một cửa sổ mô-đun chứa thông tin như tên DApp, URL và biểu tượng. Tuy nhiên, những thông tin này được cung cấp bởi DApp, ví không xác minh tính xác thực của chúng.

Kẻ tấn công có thể giả mạo DApp hợp pháp, cung cấp thông tin sai lệch. Ví dụ, kẻ tấn công có thể tuyên bố mình là Uniswap, kết nối ví Metamask của người dùng, lừa đảo người dùng phê duyệt giao dịch. Vì thông tin hiển thị có vẻ hợp pháp, người dùng rất dễ bị lừa.

2. Thông tin lừa đảo hợp đồng thông minh qua Metamask

Metamask hiển thị tên hàm của hợp đồng thông minh trong chế độ phê duyệt giao dịch. Kẻ tấn công có thể tạo ra các hợp đồng thông minh lừa đảo với tên gọi gây hiểu lầm, chẳng hạn như "SecurityUpdate", và đăng ký tên này trên chuỗi. Khi Metamask phân tích hợp đồng, tên này sẽ được hiển thị trong cửa sổ chế độ, khiến yêu cầu giao dịch trông đáng tin cậy hơn.

Kết hợp những yếu tố UI có thể kiểm soát này, kẻ tấn công có thể tạo ra một yêu cầu "cập nhật an toàn" có vẻ như đến từ "Metamask", dụ dỗ người dùng chấp thuận.

Đề xuất phòng ngừa

1. Các nhà phát triển Ví tiền nên giả định rằng dữ liệu bên ngoài không đáng tin cậy, cẩn thận chọn thông tin hiển thị cho người dùng và xác minh tính hợp pháp của nó.

2. Các giao thức như Wallet Connect nên xác thực tính hợp lệ của thông tin DApp trước.

3. Ứng dụng Ví tiền nên theo dõi và lọc các từ có thể được sử dụng cho Lừa đảo.

4. Người dùng nên cảnh giác với mọi yêu cầu giao dịch không rõ ràng và xác minh kỹ lưỡng chi tiết giao dịch.

Các cuộc tấn công lừa đảo mô hình lợi dụng sự tin tưởng của người dùng vào giao diện ví, tạo ra những cái bẫy lừa đảo thuyết phục bằng cách thao túng một số yếu tố giao diện. Nhận thức được mối đe dọa này và thực hiện các biện pháp bảo vệ tương ứng là rất quan trọng để đảm bảo an toàn cho hệ sinh thái Web3.0.