# ウェブ3.0モバイルウォレット新型フィッシング技術:モーダルフィッシング攻撃最近、私たちはウェブ3.0モバイルウォレットに対する新しいフィッシング技術を発見しました。この技術は、ユーザーが分散型アプリ(DApp)に接続する際に、身分情報を漏洩するように誤導する可能性があります。この新しい攻撃手法を"モーダルフィッシング攻撃"(Modal Phishing)と名付けました。攻撃者はモバイルウォレットに偽の情報を送信することで合法なDAppを装い、ウォレットのモーダルウィンドウに誤解を招く内容を表示させ、ユーザーに取引を承認させるよう誘惑します。このフィッシング技術は広く使用されています。関連コンポーネントの開発者はリスクを低減するために新しい検証APIを発表することを確認しています。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-5e20d7bf94995070ef023d62154c13c2)## モーダルフィッシング攻撃の原理モバイルウォレットのセキュリティ研究において、ウェブ3.0ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者によってフィッシングに利用される可能性があることに注意しました。この技術がモーダルフィッシングと呼ばれるのは、攻撃者が主に暗号ウォレットのモーダルウィンドウをターゲットにして操作するためです。モーダルウィンドウは、モバイルアプリケーションで一般的なUI要素であり、通常はメインウィンドウの上部に表示され、取引リクエストの承認/拒否などの迅速な操作に使用されます。ウェブ3.0ウォレットの典型的なモーダルデザインには、取引の詳細と承認/拒否ボタンが含まれており、ユーザーが確認して操作するためのものです。しかし、これらのUI要素は攻撃者によって制御される可能性があります。例えば、攻撃者は取引の詳細を変更し、リクエストを"Metamask"からの"セキュリティ更新"に偽装して、ユーザーに承認させることができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-dafdce504880b12244d287e60c0fd498)## 典型的な攻撃事例### 1. ウォレットコネクトを使用したDAppフィッシングウォレットコネクトは、ユーザーのウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中、ウォレットはDAppの名前、URL、アイコンなどの情報を含むモーダルウィンドウを表示します。ただし、これらの情報はDAppによって提供されており、ウォレットはその真実性を検証しません。攻撃者は合法的なDAppを装い、虚偽の情報を提供することができます。例えば、攻撃者は自分がUniswapであると主張し、ユーザーのMetamaskウォレットを接続させ、ユーザーに取引を承認させるように誘惑します。表示されている情報が合法的に見えるため、ユーザーは簡単に騙されてしまいます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-90000878c07a1333bd873500154af36d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング](https://img-cdn.gateio.im/social/moments-e3d17d2ea42349c1331580d6cc4b919c)### 2. Metamaskを通じてスマートコントラクト情報フィッシングMetamaskは、取引承認モーダルでスマートコントラクトのメソッド名を表示します。攻撃者は、"SecurityUpdate"のような誤解を招く名前のフィッシングスマートコントラクトを作成し、この名前をチェーン上に登録することができます。Metamaskがコントラクトを解析すると、モーダルウィンドウにこの名前が表示され、取引リクエストがより信頼できるように見えます。これらの制御可能なUI要素を組み合わせることで、攻撃者は「Metamask」からの「安全な更新」リクエストのように見えるものを作成し、ユーザーに承認を促すことができます。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-2de349fc736a88000db66b2238cd5489)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-1f2ba411ee3db8dcd5f0aaf4eeedec4d)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/social/moments-966a54698e22dacfc63bb23c2864959e)## 防止に関する提案1. ウォレット開発者は外部データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を確認する必要があります。2. ウォレットコネクトなどのプロトコルは、DApp情報の有効性を事前に検証する必要があります。3. ウォレットアプリはフィッシングに使用される可能性のある語句を監視し、フィルタリングするべきです。4. ユーザーは各未知の取引リクエストに対して警戒し、取引の詳細を慎重に確認する必要があります。! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃](https://img-cdn.gateio.im/social/moments-9589d873000950a9132010c1a9323e91)! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング](https://img-cdn.gateio.im/social/moments-8b4186b031ffd019332d79000e6442d9)モーダルフィッシング攻撃は、ユーザーのウォレットUIへの信頼を利用し、特定のUI要素を操作することで非常に説得力のあるフィッシングトラップを作り出します。この脅威を認識し、適切な防護措置を講じることは、ウェブ3.0エコシステムの安全を確保するために重要です。
ウェブ3.0モバイルウォレットが新型モーダルフィッシング攻撃に遭遇 ユーザーは警戒する必要があります
ウェブ3.0モバイルウォレット新型フィッシング技術:モーダルフィッシング攻撃
最近、私たちはウェブ3.0モバイルウォレットに対する新しいフィッシング技術を発見しました。この技術は、ユーザーが分散型アプリ(DApp)に接続する際に、身分情報を漏洩するように誤導する可能性があります。この新しい攻撃手法を"モーダルフィッシング攻撃"(Modal Phishing)と名付けました。
攻撃者はモバイルウォレットに偽の情報を送信することで合法なDAppを装い、ウォレットのモーダルウィンドウに誤解を招く内容を表示させ、ユーザーに取引を承認させるよう誘惑します。このフィッシング技術は広く使用されています。関連コンポーネントの開発者はリスクを低減するために新しい検証APIを発表することを確認しています。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
モーダルフィッシング攻撃の原理
モバイルウォレットのセキュリティ研究において、ウェブ3.0ウォレットの特定のユーザーインターフェース(UI)要素が攻撃者によってフィッシングに利用される可能性があることに注意しました。この技術がモーダルフィッシングと呼ばれるのは、攻撃者が主に暗号ウォレットのモーダルウィンドウをターゲットにして操作するためです。
モーダルウィンドウは、モバイルアプリケーションで一般的なUI要素であり、通常はメインウィンドウの上部に表示され、取引リクエストの承認/拒否などの迅速な操作に使用されます。ウェブ3.0ウォレットの典型的なモーダルデザインには、取引の詳細と承認/拒否ボタンが含まれており、ユーザーが確認して操作するためのものです。
しかし、これらのUI要素は攻撃者によって制御される可能性があります。例えば、攻撃者は取引の詳細を変更し、リクエストを"Metamask"からの"セキュリティ更新"に偽装して、ユーザーに承認させることができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
典型的な攻撃事例
1. ウォレットコネクトを使用したDAppフィッシング
ウォレットコネクトは、ユーザーのウォレットとDAppを接続するための人気のあるオープンソースプロトコルです。ペアリングプロセス中、ウォレットはDAppの名前、URL、アイコンなどの情報を含むモーダルウィンドウを表示します。ただし、これらの情報はDAppによって提供されており、ウォレットはその真実性を検証しません。
攻撃者は合法的なDAppを装い、虚偽の情報を提供することができます。例えば、攻撃者は自分がUniswapであると主張し、ユーザーのMetamaskウォレットを接続させ、ユーザーに取引を承認させるように誘惑します。表示されている情報が合法的に見えるため、ユーザーは簡単に騙されてしまいます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃モーダルフィッシング
2. Metamaskを通じてスマートコントラクト情報フィッシング
Metamaskは、取引承認モーダルでスマートコントラクトのメソッド名を表示します。攻撃者は、"SecurityUpdate"のような誤解を招く名前のフィッシングスマートコントラクトを作成し、この名前をチェーン上に登録することができます。Metamaskがコントラクトを解析すると、モーダルウィンドウにこの名前が表示され、取引リクエストがより信頼できるように見えます。
これらの制御可能なUI要素を組み合わせることで、攻撃者は「Metamask」からの「安全な更新」リクエストのように見えるものを作成し、ユーザーに承認を促すことができます。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! [Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃] (https://img-cdn.gateio.im/webp-social/moments-966a54698e22dacfc63bb23c2864959e.webp)
防止に関する提案
ウォレット開発者は外部データが信頼できないと仮定し、ユーザーに表示する情報を慎重に選択し、その合法性を確認する必要があります。
ウォレットコネクトなどのプロトコルは、DApp情報の有効性を事前に検証する必要があります。
ウォレットアプリはフィッシングに使用される可能性のある語句を監視し、フィルタリングするべきです。
ユーザーは各未知の取引リクエストに対して警戒し、取引の詳細を慎重に確認する必要があります。
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃
! Web3.0モバイルウォレットの新しい詐欺の謎を解く:モーダルフィッシング攻撃:モーダルフィッシング
モーダルフィッシング攻撃は、ユーザーのウォレットUIへの信頼を利用し、特定のUI要素を操作することで非常に説得力のあるフィッシングトラップを作り出します。この脅威を認識し、適切な防護措置を講じることは、ウェブ3.0エコシステムの安全を確保するために重要です。