我们最近发现了一种新型的网络钓鱼技术,可用于在连接的去中心化应用身份方面误导受害者。
我们将这种新型的网络钓鱼技术命名为ModalPhishing。
攻击者可以向移动钱包发送伪造的虚假信息冒充合法的DApp,并通过在移动钱包的模态窗口中显示误导性信息来诱受害者批准交易。这种网络钓鱼技术正在广泛使用。我们与相应的组件开发人员进行了沟通,并确认他们将发布新的验证API以降低该风险。
什么是ModalPhishing?
在CertiK对移动钱包的安全研究中,我们注意到Web3.0货币钱包的某些用户界面元素可以被攻击者控制用来进行网络钓鱼攻击。我们将这种钓鱼技术命名为ModalPhishing,因为攻击者主要针对加密钱包的模态窗口进行钓鱼攻击。
模态是移动应用程序中经常使用的UI元素。模态通常显示在应用程序主窗口顶部。这样的设计通常用于方便用户执行快速操作,如批准/拒绝Web3.0货币钱包的交易请求。
CoinDesk Indices和CoinFund联合推出以太坊质押基准利率:金色财经报道,CoinDesk Indices 和加密货币投资公司 CoinFund 联合推出了一个基准,该基准跟踪以太坊抵押率并将机构投资者期望的装备带入数字资产。根据周四的一份声明,综合以太抵押率 (CESR) 将每周计算和发布 7 天。它考虑了区块奖励、新排放量、交易费用、最大可提取价值 (MEV)、协议削减和取款。
CoinDesk Indices 总裁 Alan Campbell 在新闻稿中表示,我们与 CoinFund 的合作伙伴关系为加密资产市场创造了这样一个基础设施,凭借我们管理全球运行时间最长和最大的基准加密指数的经验,我们很高兴推出 CESR,这是基于加密的金融的基石。CESR 的推出有助于创建市场基础设施,以允许远期利率曲线和贴现率,这是用于对资产进行估值的传统金融 (TradFi) 的支柱,并允许根据 CESR 对数字资产进行定价。[2023/4/28 14:32:09]
Web3.0货币钱包上的典型模态设计通常提供供用户检查签名等请求的必要信息,以及批准或拒绝请求的按钮。
Galaxy Digital:未接触Genesis的借贷业务和Gemini的Earn计划:11月17日消息,据外媒报道,由亿万富翁Michael Novogratz创立的加密货币金融服务公司Galaxy Digital Holdings Ltd.在一份声明中表示,该公司没有涉足Genesis的借贷业务和Gemini Trust Co.的Earn计划。 该公司发言人表示:“Galaxy Digital继续审慎管理风险,帮助客户应对当前的市场环境。” 据悉,Galaxy Digital早些时候曾披露对FTX的7680万美元风险敞口。
此前昨日消息,Genesis加密货币借贷部门暂停客户赎回和新贷款发放。加密货币交易所和托管商Gemini称,其Earn计划的贷款合作伙伴Genesis已暂停提款,无法在5个工作日内满足客户兑换;正在与Genesis团队合作,帮助客户尽快从Earn计划中赎回资金。(彭博社)[2022/11/17 13:14:40]
真实交易批准模式与网络钓鱼交易批准模式对比
印度央行行长:加密货币可能对汇率、政策产生不利影响:8月23日消息,印度央行行长沙克蒂坎塔·达斯:加密货币可能对汇率、政策产生不利影响。(金十)[2022/8/23 12:42:54]
在上方截图中,我们展示了Metamask上一个常规的交易审批模态窗口是如何出现的。
当一个新的交易请求被连接的去中心化应用程序初始化时,钱包会展示一个新的模态窗口,并要求用户进行人工确认。
如上图左侧所示,模态窗口通常包含请求者的身份,如网站地址、图标等。如Metamask这样的一些钱包也会显示有关请求的关键信息,在实例中我们看到一些UI元素被标记为“Confirm”,以提示用户这是一个常规的交易请求。
然而,这些用户界面元素可以被攻击者控制以进行ModalPhishing攻击。在右侧的截图中,我们可以看到攻击者可以更改交易细节,并将交易请求伪装成来自“Metamask”的“SecurityUpdate”请求,以诱使用户批准。
安全公司:Jump Satoshi Token项目中留有后门,处于高风险状态,请用户及时提取资产:金色财经消息,据成都链安技术团队分析,发现Jump Satoshi Token项目中留有后门,项目方可以通过合约中的Approve函数更改代码实现地址。项目方的后门权限地址为0x23A15A374B0f5f20625B7D53666dF1Fe82b2916f,并已将实现地址更改为0x7d62b05bdf8fa07d8b3b8b9f315371aa91098f58。目前WBNB-JST交易池中存有3681586个WBNB,并处于高风险状态。请用户及时提取资产,以避免项目方利用后门盗取资产。[2022/4/26 5:12:38]
如截图所示,攻击者可以操纵多个UI元素。
因此我们将在本文中为大家分享两个典型案例,并确定那些可被攻击者控制的UI元素。
详细信息如下:
Coinbase CEO:苹果的加密规则突出了“潜在的反垄断问题”:金色财经报道,在本周播出的 Superteam 播客中,Coinbase的首席执行官Brian Armstrong讨论了苹果的影响力,并提出智能手机可能很快需要构建加密专用硬件功能的想法。Coinbase的首席执行官Brian Armstrong认为,苹果的 App Store 规则阻碍了该公司的产品路线图,指责这家 iPhone 制造商禁止其应用程序中的功能,并且通常对加密货币行业不友好。到目前为止,Apple 并没有真正很好地处理加密货币,他们实际上已经禁止了我们希望在应用程序中拥有的一系列功能,但他们就是不允许,所以那里存在潜在的反垄断问题。
当被问及 Coinbase 是否会推出自己的硬件钱包时,Armstrong做出了披露。他表示,该公司已经与 Ledger 拥有一些联合品牌的硬件钱包,但他认为这两个主要的移动操作系统需要将其设备生态系统扩展到加密领域。[2022/4/23 14:43:13]
①如果使用WalletConnect协议,攻击者可以控制DApp信息UI元素。
②攻击者可以控制某些钱包应用中的智能合约信息UI元素。
攻击者控制的Modal和相关的信息源示例
示例①:通过WalletConnect进行DApp钓鱼攻击
WalletConnect协议是一个广受欢迎的开源协议,用于通过二维码或深度链接将用户的钱包与DApp连接。用户可以通过WalletConnect协议将他们的钱包与DApp连接起来,然后与该协议进行进行交易或转账。
在Web3.0货币钱包和DApp之间的配对过程中,我们注意到Web3.0货币钱包会展示一个模态窗口,显示传入配对请求的元信息——包括DApp的名称,网站地址,图标和描述。Web3.0钱包展示的这些信息和方式根据DApp名称、图标和网站地址不同而变化,以供用户查看。
但是这些信息是DApp提供的,钱包并不验证其所提供信息是否合法真实。比如在网络钓鱼攻击中,某雷碧可以假称为某雪碧,而后在用户发起交易请求之前诱用户与其连接。
小伙伴们可以复制链接到浏览器查看CertiK为此做的一个小测试。
在该视频中,CertiK展示了攻击者是如何「欺瞒」UniswapDApp的——攻击者声称自己是UniswapDApp,并连接Metamask钱包,以此用户批准传入的交易。
在配对过程中,钱包内显示的模态窗口呈现了合规UniswapDApp的名称、网站网址和网站图标。
由于网址中使用了https方案,所以还显示了一个挂锁图标,这样显得模态窗口更为逼真和合法了。在配对过程中,只要受害者想在假Uniswap网站上进行交易操作,攻击者就可以替换交易请求参数来窃取受害者的资金。
请注意,虽然不同的钱包上的模态设计不同,但攻击者是始终可以控制元信息的。
下图展示了当我们将ZenGo和1Inch钱包连接到钓鱼网站的DApp时,配对批准模式的样子。
如上例所示,被大规模使用的WalletConnect协议并未验证配对的DApp信息的合法性。被操纵的元信息被钱包应用程序进一步使用并呈现给用户,这可以被用来进行ModalPhishing。作为一个潜在的解决方案,WalletConnect协议可以提前验证DApp信息的有效性和合法性。WalletConnect的开发人员已经承认了知晓这个问题,并正在研究相关解决方案。
示例②:通过MetaMask进行智能合约信息网络钓鱼
你可能已经注意到,在Metamask批准模态的图标或网站名称下,有另一个视图,显示了一个不固定的字符串例如“Confirm”或“UnknownMethod”。这个UI元素是由Metamask设计的,用于识别相应的交易类型。
在呈现交易批准模态时,Metamask会读取智能合约的签名字节,并使用链上方法注册表查询相应的方法名称,如以下代码所示。然而,这也会在模态上创建另一个可以被攻击者控制的UI元素。
MetaMask的智能合约方法名称说明
我们可以看到Metamask上有一个交易请求模态,其被标记为“SecurityUpdate”。攻击者建立了一个钓鱼智能合约,其有一个SecurityUpdate具备支付函数功能,并允许受害者将资金转入该智能合约。
攻击者还使用SignatureReg将方法签名注册为人类可读的字符串“SecurityUpdate”中。如前所述,当Metamask解析这个钓鱼智能合约时,它使用函数签名字节查询相应的函数方法,并在批准模态中呈现给用户。
从这个智能合约的交易可以看出,这个特定的钓鱼智能合约已经运行了200多天。
开发者应该时刻注意监测那些会向用户呈现的内容,并采取预防措施过滤掉可能被用于网络钓鱼攻击的词语。
写在最后
在本文中,我们为大家展示了Web3.0货币钱包上不应盲目信任的常见UI组件——模态窗口。
模态窗口中的某些UI元素可以被攻击者操纵,以创造出非常「真实且有说服力」的钓鱼陷阱。因此,我们将这种新的网络钓鱼技术命名为ModalPhishin。
这种攻击发生的根本原因是钱包应用程序没有彻底验证所呈现的UI元素的合法性。
例如,钱包应用程序直接信任来自WalletConnectSDK的元数据,并将其呈现给了用户。
WalletConnectSDK也并不验证传入的元数据,这在某些情况下使得呈现的元数据可以被攻击者控制。在Metamask中,我们可以看到类似的攻击原理也被攻击者滥用,在模态窗口中显示欺诈性的智能合约函数方法名称。
总体而言,我们认为钱包应用程序的开发者应该始终假设外部传入的数据是不可信的。开发者应该仔细选择向用户展示哪些信息,并验证这些信息的合法性。除此之外,用户也应通过对每个未知的交易请求保持怀疑的态度来守好自己安全上的「一亩三分地」。
Gate.io将于2023年4月23日22:10~22:20进行现货交易引擎升级,时间约为10分钟。升级期间可能带来现货交易部分服务不可用,预计会有1s以内的交易中断时间和查询中断时间。请受影响的的用户提前调整策略执行方案.
1900/1/1 0:00:00ForesightNews消息,据金十报道,美国最高金融监管机构提议加强用于审查非银行公司的工具,包括修改特朗普时期的指导方针。美国财长耶伦宣布了美国金融稳定监督委员会的一项提案,该提案将修改非银行机构被指定为系统重要性机构的方式.
1900/1/1 0:00:00文章编辑时间2023.4.22凌晨0:30分,所有观点不构成任何投资建议!仅供学习交流。周四晚美国公布当周失业金数据,失业人数继续高于预期,有利于未来通胀控制,能够缓解加息趋势,但失业人数升高后,会对美国经济衰退产生较大影响.
1900/1/1 0:00:00ForesightNews消息,Rollup平台Caldera宣布即将引入状态预编译,为开发人员提供一个新的界面来定制和添加功能到他们的Caldera链,无需编写Solidity即可向其EVM实例添加功能.
1900/1/1 0:00:00原文作者:西柚,ChainCatcher近日,中心化社交图谱协议CyberConnect链上数据的激增,吸引了一大批注意力.
1900/1/1 0:00:00Gate.io现已根据2023年3月28日08:00后第一个区块获取的用户OpenDAO(SOS)持仓快照,为符合规定的持有用户分发了AOS空投代币.
1900/1/1 0:00:00