nội dung
- CertiK cho biết tin tặc khai thác giao thức ví chính để “lừa đảo theo phương thức”
- Không bao giờ phê duyệt các giao dịch đáng ngờ trong MetaMask của bạn
Những kẻ lừa đảo tiền điện tử đã cố gắng bắt chước hoạt động của các dApps hợp pháp để đánh cắp tiền từ ví của người dùng. Cửa sổ phương thức — một yếu tố chính trong giao diện người dùng của ví tiền điện tử — có thể dễ dàng được sử dụng để đánh lừa chủ sở hữu tiền điện tử.
CertiK cho biết tin tặc khai thác giao thức ví chính để “lừa đảo theo phương thức”
Tin tặc tiền điện tử đang sử dụng các kỹ thuật lừa đảo tinh vi để rút ví của nạn nhân. Cụ thể, họ có thể giành quyền kiểm soát “cửa sổ phương thức” của ví không lưu ký để dụ chủ sở hữu của họ phê duyệt các giao dịch sai. Các cuộc tấn công như vậy được mô tả trong một Lừa đảo theo phương thức trong Ví di động Web3 báo cáo của nhóm an ninh mạng hàng đầu CertiK.
🚨 Các nhà nghiên cứu bảo mật của chúng tôi đã phát hiện ra một kỹ thuật lừa đảo mới, Modal Phishing, khai thác một thành phần giao diện người dùng phổ biến – cửa sổ phương thức – trên #tiền điện tử ví.
Những kẻ tấn công có thể thao túng một số phần tử giao diện người dùng nhất định để tạo ra các kịch bản lừa đảo thuyết phục… 🧵👇 pic.twitter.com/RAYYufuYre
– Chứng nhận (@CertiK) Ngày 12 tháng 4 năm 2023
Tin tặc đã quản lý để gửi tin nhắn lừa đảo đến ví di động được công nhận là ứng dụng phi tập trung hợp pháp (dApps). Do đó, người dùng có thể mất tiền khi phê duyệt giao dịch “Cập nhật bảo mật” trên MetaMask.
Hai tình huống lừa đảo phổ biến nhất vào đầu năm 2023: tin tặc có thể thao túng giao thức nguồn mở WalletConnect để giành quyền kiểm soát các phần tử giao diện người dùng thông tin dApp hoặc trực tiếp giành quyền kiểm soát hợp đồng thông minh.
Trong kịch bản đầu tiên, kẻ tấn công có thể thay thế các tham số yêu cầu giao dịch (số lượng mã thông báo, loại mã thông báo, địa chỉ đích, v.v.) sau khi được người dùng chấp thuận.
Nhóm CertiK đã báo cáo lỗ hổng này cho nhóm WalletConnect; các nhà phát triển đã xác nhận sự cố và đang nỗ lực giảm thiểu sự cố thông qua một bản cập nhật khẩn cấp.
Không bao giờ phê duyệt các giao dịch đáng ngờ trong MetaMask của bạn
Kịch bản thứ hai thậm chí còn phức tạp hơn: những kẻ lừa đảo có thể thay đổi tên của các phương thức (các lệnh được ứng dụng Web3 sử dụng) để làm cho các ví hiển thị sai thông báo.
Người dùng có thể nghĩ rằng họ đang phê duyệt “Cập nhật bảo mật” thông qua ví MetaMask sau khi những kẻ tấn công sử dụng tên này để dán nhãn phê duyệt giao dịch lừa đảo.
Thật không may, CertiK đã tiết lộ một hợp đồng lừa đảo nhằm đánh cắp tiền từ người dùng tiền điện tử trong 200 ngày.
Nhóm CertiK một lần nữa nhấn mạnh rằng người dùng nên hết sức thận trọng và thậm chí hoài nghi về mọi yêu cầu giao dịch không xác định — ngay cả những yêu cầu được gắn nhãn là nâng cấp bảo mật.
