【新闻稿】
标题:TonConnect SDK Origin 伪造风险引关注,慢雾安全团队发布分析报告
正文:
随着TON生态项目的不断升温,网络安全问题也日益凸显。近日,慢雾安全团队发现 TonConnect SDK 存在 Origin 伪造风险,可能对用户造成安全隐患。该团队已发布分析报告,以提高用户的安全意识和防范措施。
报告指出,TonConnect SDK 是TON生态中用于解决跨平台/应用钱包连接和交互问题的工具。然而,在跨平台/应用消息通讯过程中,存在消息来源被伪造的问题。这可能导致恶意DApp伪装成可信网站,进而实施钓鱼和欺诈攻击。
慢雾安全团队发现,在 TonConnect SDK 中,DApp 使用 TonConnect SDK 作为钱包和DApp进行消息通讯的工具时,需要在接入 TonConnect SDK 时配置 dappMetadata。然而,dappMetadata 的数据难以验证,恶意DApp可以修改 dappMetadata 伪装成可信网站,对用户进行欺诈。
报告中,慢雾安全团队展示了如何通过修改 dappMetadata 伪造知名DApp的Origin,并与钱包应用进行通讯。一旦用户确认签名申请,钱包就会将签名后的数据广播到区块链上,从而可能导致用户资产损失。
目前,主流钱包和DApp在跨平台/应用通讯时的域名验证问题尚未得到妥善解决。慢雾安全团队建议,SDK项目方应额外增加一些验证方式,如WalletConnect的Verify机制,以增强安全性。同时,团队也提醒用户在使用钱包连接DApp或确认签名请求时,注意识别网站域名是否与请求批准展示的域名一致,避免遭受钓鱼攻击。
慢雾安全团队一直致力于网络安全研究,此次发布的分析报告旨在帮助用户识别和防范风险。此外,团队还建议广大DApp开发者加强对域名的Verify认证,以提高整个生态系统的安全性。
相关链接:
– 慢雾科技官网:https://www.slowmist.com/
– 慢雾区官网:https://slowmist.io/
– 慢雾GitHub:https://github.com/slowmist
– 慢雾Telegram:https://t.me/slowmistteam
– 慢雾Twitter:https://twitter.com/@slowmist_team
– 慢雾Medium:https://medium.com/@slowmist
关于慢雾安全团队:
慢雾安全团队是一支专业的网络安全团队,专注于区块链安全研究和防护。团队成立以来,已成功发现并协助解决了多个区块链项目中的安全问题,为区块链生态的健康发展贡献力量。
Views: 0