Web3.0移動錢包新型騙局：模態釣魚攻擊

近期，一種新型的網絡釣魚技術被發現，它可能會在連接去中心化應用（DApp）身分方面誤導用戶。這種新型網絡釣魚技術被稱爲"模態釣魚攻擊"（Modal Phishing）。

攻擊者可以向移動錢包發送僞造信息，冒充合法DApp，並通過在移動錢包的模態窗口中顯示誤導性信息來誘騙用戶批準交易。這種網絡釣魚技術已經開始廣泛使用。安全研究人員已經與相關組件開發人員進行了溝通，確認他們將發布新的驗證API以降低該風險。

什麼是模態釣魚攻擊？

在對移動錢包的安全研究中，研究人員注意到Web3.0加密貨幣錢包的某些用戶界面（UI）元素可以被攻擊者控制用來進行網絡釣魚攻擊。這種釣魚技術被命名爲模態釣魚，因爲攻擊者主要針對加密錢包的模態窗口進行攻擊。

模態（或模態窗口）是移動應用程序中常用的UI元素，通常顯示在應用程序主窗口頂部。這種設計通常用於方便用戶執行快速操作，如批準或拒絕Web3.0加密貨幣錢包的交易請求。

典型的Web3.0加密貨幣錢包模態設計通常提供必要信息供用戶檢查籤名等請求，以及批準或拒絕請求的按鈕。

然而，這些用戶界面元素可能被攻擊者控制以進行模態釣魚攻擊。攻擊者可以更改交易細節，並將交易請求僞裝成來自可信來源的"安全更新"請求，以誘使用戶批準。

典型案例

案例1：通過Wallet Connect進行DApp釣魚攻擊

Wallet Connect協議是一個廣受歡迎的開源協議，用於通過二維碼或深度連結將用戶的錢包與DApp連接。在Web3.0加密貨幣錢包和DApp之間的配對過程中，錢包會展示一個模態窗口，顯示傳入配對請求的元信息，包括DApp的名稱、網站地址、圖標和描述。

然而，這些信息是由DApp提供的，錢包並不驗證其真實性。在網絡釣魚攻擊中，攻擊者可以假冒合法DApp，誘騙用戶與其連接。

安全研究人員展示了攻擊者如何冒充Uniswap DApp並連接Metamask錢包，以此欺騙用戶批準傳入的交易。在配對過程中，錢包內顯示的模態窗口呈現了看似合法的Uniswap DApp的名稱、網站網址和圖標。

案例2：通過MetaMask進行智能合約信息網絡釣魚

在Metamask批準模態中，有一個UI元素用於識別相應的交易類型。Metamask會讀取智能合約的籤名字節，並使用鏈上方法註冊表查詢相應的方法名稱。然而，這也會在模態上創建另一個可以被攻擊者控制的UI元素。

攻擊者可以建立一個釣魚智能合約，其中包含一個名爲"SecurityUpdate"的支付函數，並允許受害者將資金轉入該智能合約。攻擊者還可以使用SignatureReg將方法籤名註冊爲人類可讀的字符串"SecurityUpdate"。當Metamask解析這個釣魚智能合約時，它會在批準模態中向用戶呈現這個看似合法的函數名稱。

防範建議

1. 錢包應用程序的開發者應該始終假設外部傳入的數據是不可信的。

2. 開發者應該仔細選擇向用戶展示哪些信息，並驗證這些信息的合法性。

3. 用戶應對每個未知的交易請求保持警惕，仔細檢查交易詳情。

4. Wallet Connect協議可以考慮提前驗證DApp信息的有效性和合法性。

5. 錢包應用開發者應監測那些會向用戶呈現的內容，並採取預防措施過濾掉可能被用於網絡釣魚攻擊的詞語。

通過提高警惕和改進安全措施，我們可以共同努力減少此類新型網絡釣魚攻擊的風險，保護Web3.0生態系統的安全。