Web3.0移动钱包新型骗局：模态钓鱼攻击

近期，一种新型的网络钓鱼技术被发现，它可能会在连接去中心化应用（DApp）身份方面误导用户。这种新型网络钓鱼技术被称为"模态钓鱼攻击"（Modal Phishing）。

攻击者可以向移动钱包发送伪造信息，冒充合法DApp，并通过在移动钱包的模态窗口中显示误导性信息来诱骗用户批准交易。这种网络钓鱼技术已经开始广泛使用。安全研究人员已经与相关组件开发人员进行了沟通，确认他们将发布新的验证API以降低该风险。

什么是模态钓鱼攻击？

在对移动钱包的安全研究中，研究人员注意到Web3.0加密货币钱包的某些用户界面（UI）元素可以被攻击者控制用来进行网络钓鱼攻击。这种钓鱼技术被命名为模态钓鱼，因为攻击者主要针对加密钱包的模态窗口进行攻击。

模态（或模态窗口）是移动应用程序中常用的UI元素，通常显示在应用程序主窗口顶部。这种设计通常用于方便用户执行快速操作，如批准或拒绝Web3.0加密货币钱包的交易请求。

典型的Web3.0加密货币钱包模态设计通常提供必要信息供用户检查签名等请求，以及批准或拒绝请求的按钮。

然而，这些用户界面元素可能被攻击者控制以进行模态钓鱼攻击。攻击者可以更改交易细节，并将交易请求伪装成来自可信来源的"安全更新"请求，以诱使用户批准。

典型案例

案例1：通过Wallet Connect进行DApp钓鱼攻击

Wallet Connect协议是一个广受欢迎的开源协议，用于通过二维码或深度链接将用户的钱包与DApp连接。在Web3.0加密货币钱包和DApp之间的配对过程中，钱包会展示一个模态窗口，显示传入配对请求的元信息，包括DApp的名称、网站地址、图标和描述。

然而，这些信息是由DApp提供的，钱包并不验证其真实性。在网络钓鱼攻击中，攻击者可以假冒合法DApp，诱骗用户与其连接。

安全研究人员展示了攻击者如何冒充Uniswap DApp并连接Metamask钱包，以此欺骗用户批准传入的交易。在配对过程中，钱包内显示的模态窗口呈现了看似合法的Uniswap DApp的名称、网站网址和图标。

案例2：通过MetaMask进行智能合约信息网络钓鱼

在Metamask批准模态中，有一个UI元素用于识别相应的交易类型。Metamask会读取智能合约的签名字节，并使用链上方法注册表查询相应的方法名称。然而，这也会在模态上创建另一个可以被攻击者控制的UI元素。

攻击者可以建立一个钓鱼智能合约，其中包含一个名为"SecurityUpdate"的支付函数，并允许受害者将资金转入该智能合约。攻击者还可以使用SignatureReg将方法签名注册为人类可读的字符串"SecurityUpdate"。当Metamask解析这个钓鱼智能合约时，它会在批准模态中向用户呈现这个看似合法的函数名称。

防范建议

1. 钱包应用程序的开发者应该始终假设外部传入的数据是不可信的。

2. 开发者应该仔细选择向用户展示哪些信息，并验证这些信息的合法性。

3. 用户应对每个未知的交易请求保持警惕，仔细检查交易详情。

4. Wallet Connect协议可以考虑提前验证DApp信息的有效性和合法性。

5. 钱包应用开发者应监测那些会向用户呈现的内容，并采取预防措施过滤掉可能被用于网络钓鱼攻击的词语。

通过提高警惕和改进安全措施，我们可以共同努力减少此类新型网络钓鱼攻击的风险，保护Web3.0生态系统的安全。