📢 Gate广场 #NERO发帖挑战# 秀观点赢大奖活动火热开启!
Gate NERO生态周来袭!发帖秀出NERO项目洞察和活动实用攻略,瓜分30,000NERO!
💰️ 15位优质发帖用户 * 2,000枚NERO每人
如何参与:
1️⃣ 调研NERO项目
对NERO的基本面、社区治理、发展目标、代币经济模型等方面进行研究,分享你对项目的深度研究。
2️⃣ 参与并分享真实体验
参与NERO生态周相关活动,并晒出你的参与截图、收益图或实用教程。可以是收益展示、简明易懂的新手攻略、小窍门,也可以是行情点位分析,内容详实优先。
3️⃣ 鼓励带新互动
如果你的帖子吸引到他人参与活动,或者有好友评论“已参与/已交易”,将大幅提升你的获奖概率!
NERO热门活动(帖文需附以下活动链接):
NERO Chain (NERO) 生态周:Gate 已上线 NERO 现货交易,为回馈平台用户,HODLer Airdrop、Launchpool、CandyDrop、余币宝已上线 NERO,邀您体验。参与攻略见公告:https://www.gate.com/announcements/article/46284
高质量帖子Tips:
教程越详细、图片越直观、互动量越高,获奖几率越大!
市场见解独到、真实参与经历、有带新互动者,评选将优先考虑。
帖子需原创,字数不少于250字,且需获得至少3条有效互动
Web3移动钱包新型威胁:模态钓鱼攻击详解及防范
Web3移动钱包安全风险:模态钓鱼攻击详解
近期,一种针对Web3移动钱包的新型网络钓鱼技术被发现,这种攻击主要利用钱包应用中的模态窗口来误导用户。我们将这种新型钓鱼技术命名为"模态钓鱼攻击"(Modal Phishing)。
在这种攻击中,黑客可以向移动钱包发送伪造的信息,冒充合法的去中心化应用(DApp),并通过在钱包的模态窗口中显示误导性信息来诱骗用户批准交易。这种技术正被广泛使用,相关开发人员已确认将发布新的验证API以降低风险。
什么是模态钓鱼攻击?
模态钓鱼攻击主要针对加密钱包的模态窗口进行。模态(或模态窗口)是移动应用中常用的UI元素,通常显示在应用主窗口顶部,用于方便用户执行快速操作,如批准/拒绝Web3钱包的交易请求。
典型的Web3钱包模态窗口设计通常提供交易详情供用户检查,以及批准或拒绝的按钮。然而,这些UI元素可能被攻击者控制,用于进行钓鱼攻击。
模态钓鱼攻击的两种典型案例
1. 通过Wallet Connect进行DApp钓鱼攻击
Wallet Connect是一个流行的开源协议,用于通过二维码或深度链接连接用户钱包与DApp。在配对过程中,Web3钱包会显示一个模态窗口,展示传入配对请求的元信息,包括DApp的名称、网址、图标和描述。
然而,这些信息是由DApp提供的,钱包并不验证其真实性。攻击者可以伪造这些信息,假冒合法DApp。例如,攻击者可以声称自己是Uniswap,并连接用户的钱包,诱骗用户批准交易。
2. 通过智能合约信息进行钓鱼
某些钱包应用在交易批准模态窗口中会显示智能合约的方法名称。这个UI元素也可能被攻击者控制。
例如,攻击者可以创建一个钓鱼智能合约,其中包含一个名为"SecurityUpdate"的支付函数。当钱包解析这个合约时,它会在批准模态中向用户展示"Security Update"的字样,使交易看起来更加可信。
防范建议
钱包应用开发者应始终假设外部传入的数据不可信,仔细选择向用户展示哪些信息,并验证这些信息的合法性。
用户应对每个未知的交易请求保持警惕,不要轻易相信模态窗口中显示的信息。
DApp连接协议(如Wallet Connect)应考虑提前验证DApp信息的有效性和合法性。
钱包应用应监测并过滤可能被用于钓鱼攻击的词语。
总之,模态钓鱼攻击利用了钱包应用未能彻底验证所呈现UI元素合法性的漏洞。提高对这类攻击的认识,加强验证机制,对保护Web3用户资产安全至关重要。