Solidity

網路釣魚如何對 metamask 起作用?

  • January 25, 2021

我已閱讀以下內容:

Gene 正在他的筆記型電腦上工作,在他的瀏覽器中打開了幾個選項卡。他解鎖了他的 MetaMask 錢包以進行交易。攻擊者使用打開的選項卡查看 Gene 正在使用 MetaMask。

攻擊者向 Gene 發送一條彈出消息,說明他的交易失敗。這種情況有時會發生,所以吉恩並不擔心。他輸入密碼以重新進行交易。攻擊者現在可以訪問 Gene 的錢包。

我完全不明白攻擊者如何使用打開的選項卡來查看 Gene 正在使用 Metamask。

如果您進一步解釋這一點,我將不勝感激。

在 Metamask v7 之前,錢包擴展與每個打開的標籤共享使用者選擇的地址。這意味著,通過這些選項卡打開的任何網站都可能跟踪使用者的交易歷史和錢包持有的乙太幣/代幣數量。惡意網站可以通過向使用者發送虛假彈出/通知來模擬 Metamask 行為。

例如,攻擊者可以等待使用者發送交易,然後注入一個詐騙彈窗,其行為方式如下:

  • 告訴交易失敗並要求使用者簽署一個新的,其中收件人地址是黑客地址。
  • 告訴使用者出現問題並且錢包已斷開連接,然後讓他輸入他的種子(恢復錢包所需的)以重新連接並處理交易。

新手使用者可能會被這種攻擊所困。

從 v7 開始,Metamask 不再在未經使用者同意的情況下將賬戶地址分享給訪問過的網站,使用者必須手動確認是否願意與網站互動。

引用自:https://ethereum.stackexchange.com/questions/90969