Web3.0移動錢包新型安全風險：模態釣魚攻擊

近期，安全專家發現了一種新型的網絡釣魚技術，該技術可能會在連接去中心化應用(DApp)身分驗證過程中誤導用戶。這種新型攻擊被命名爲"模態釣魚攻擊"(Modal Phishing)。

攻擊者可以向移動錢包發送僞造信息，冒充合法DApp，並通過在錢包的模態窗口中顯示誤導性信息來誘騙用戶批準交易。這種釣魚技術正在廣泛使用。相關組件開發人員已確認將發布新的驗證API以降低該風險。

模態釣魚攻擊的原理

在對移動錢包的安全研究中，專家注意到Web3.0加密錢包的某些用戶界面(UI)元素可被攻擊者控制用於釣魚攻擊。之所以稱爲模態釣魚，是因爲攻擊者主要針對加密錢包的模態窗口進行操作。

模態窗口是移動應用程序中常用的UI元素，通常顯示在主窗口頂部，用於方便用戶執行快速操作，如批準/拒絕Web3.0錢包的交易請求。典型的Web3.0錢包模態設計通常提供必要的請求信息供用戶檢查，以及批準或拒絕的按鈕。

然而，這些用戶界面元素可能被攻擊者控制以進行模態釣魚攻擊。攻擊者可以更改交易細節，將交易請求僞裝成來自可信來源的"安全更新"請求，以誘使用戶批準。

典型攻擊案例

1. 通過Wallet Connect進行DApp釣魚攻擊

Wallet Connect協議是一個廣受歡迎的開源協議，用於通過二維碼或深度連結將用戶的錢包與DApp連接。在配對過程中，Web3.0錢包會展示一個模態窗口，顯示傳入配對請求的元信息，包括DApp的名稱、網站地址、圖標和描述。

然而，這些信息是由DApp提供的，錢包並不驗證其真實性。攻擊者可以假冒合法DApp，誘騙用戶與之連接。在配對過程中，錢包內顯示的模態窗口會呈現看似合法的DApp信息，增加了攻擊的可信度。

2. 通過某加密錢包進行智能合約信息網絡釣魚

在某些加密錢包的批準模態中，會顯示一個用於識別交易類型的字符串。錢包會讀取智能合約的籤名字節，並使用鏈上方法註冊表查詢相應的方法名稱。然而，這也爲攻擊者提供了另一個可控制的UI元素。

攻擊者可以建立一個釣魚智能合約，其函數名被註冊爲"SecurityUpdate"等具有迷惑性的字符串。當錢包解析這個釣魚智能合約時，它會在批準模態中向用戶呈現這個看似可信的函數名稱。

防範建議

1. 錢包應用程序開發者應始終假設外部傳入的數據是不可信的，仔細選擇向用戶展示哪些信息，並驗證這些信息的合法性。

2. 用戶應對每個未知的交易請求保持警惕，不要輕易相信看似來自可信來源的更新或安全請求。

3. Wallet Connect等協議開發者應考慮提前驗證DApp信息的有效性和合法性。

4. 錢包應用應採取預防措施，過濾掉可能被用於網絡釣魚攻擊的詞語。

總之，Web3.0加密錢包的模態窗口中的某些UI元素可能被攻擊者操縱，創造出極具欺騙性的釣魚陷阱。用戶和開發者都應提高警惕，共同維護Web3生態的安全。