📢 Gate广场 #MBG任务挑战# 发帖赢大奖活动火热开启!
想要瓜分1,000枚MBG?现在就来参与,展示你的洞察与实操,成为MBG推广达人!
💰️ 本期将评选出20位优质发帖用户,每人可轻松获得50枚MBG!
如何参与:
1️⃣ 调研MBG项目
对MBG的基本面、社区治理、发展目标、代币经济模型等方面进行研究,分享你对项目的深度研究。
2️⃣ 参与并分享真实体验
参与MBG相关活动(包括CandyDrop、Launchpool或现货交易),并晒出你的参与截图、收益图或实用教程。可以是收益展示、简明易懂的新手攻略、小窍门,也可以是现货行情点位分析,内容详实优先。
3️⃣ 鼓励带新互动
如果你的帖子吸引到他人参与活动,或者有好友评论“已参与/已交易”,将大幅提升你的获奖概率!
MBG热门活动(帖文需附下列活动链接):
Gate第287期Launchpool:MBG — 质押ETH、MBG即可免费瓜分112,500 MBG,每小时领取奖励!参与攻略见公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通过首次交易、交易MBG、邀请好友注册交易即可分187,500 MBG!参与攻略见公告:https://www.gate.com/announcements
模态钓鱼攻击:Web3移动钱包面临的新安全威胁
Web3移动钱包新型安全威胁:模态钓鱼攻击
近期,安全研究人员发现了一种针对Web3移动钱包的新型网络钓鱼技术,被称为"模态钓鱼攻击"(Modal Phishing)。这种攻击手法利用了移动钱包应用中常见的模态窗口UI元素,通过显示误导性信息来诱骗用户批准恶意交易。
模态钓鱼攻击的原理
模态钓鱼攻击主要针对加密货币钱包应用中用于交易确认的模态窗口。攻击者可以操纵这些窗口中的某些UI元素,使其显示虚假或误导性的信息,从而欺骗用户批准恶意交易。
这种攻击手法主要利用了两个漏洞:
通过Wallet Connect协议进行DApp钓鱼:攻击者可以控制连接请求中的DApp信息,如名称、图标等,使钓鱼应用伪装成合法DApp。
智能合约信息钓鱼:某些钱包应用会在模态窗口中显示智能合约的函数名称,攻击者可以注册误导性的函数名来欺骗用户。
攻击案例分析
DApp钓鱼
研究人员演示了如何创建一个伪造的DApp,声称自己是Uniswap或Metamask等知名应用。当用户尝试连接钱包时,模态窗口会显示看似合法的应用信息,包括名称、网址和图标。这可能会误导用户相信他们正在与真实的DApp交互。
智能合约信息钓鱼
以某知名移动钱包为例,攻击者可以创建一个钓鱼智能合约,并将其函数名注册为"SecurityUpdate"。当用户收到交易请求时,模态窗口会显示这个误导性的函数名,使交易看起来像是来自钱包应用本身的安全更新。
安全建议
为了防范模态钓鱼攻击,研究人员提出了以下建议:
钱包应用开发者应该始终验证外部传入数据的合法性,不应盲目信任和展示这些信息。
Wallet Connect协议应考虑增加DApp信息验证机制。
钱包应用应过滤可能被用于钓鱼的敏感词语。
用户应对每个未知的交易请求保持警惕,仔细核实交易详情。
总之,模态钓鱼攻击揭示了Web3移动钱包在用户界面设计和信息验证方面的潜在安全隐患。随着这类攻击手法的曝光,业界有望采取更严格的安全措施,以提高用户资产的保护水平。