Web3.0移动钱包面临新型钓鱼威胁：模态钓鱼攻击

研究人员最近发现了一种针对Web3.0移动钱包的新型网络钓鱼技术，被称为"模态钓鱼攻击"（Modal Phishing）。这种攻击手法主要利用移动钱包应用中的模态窗口来误导用户，使其在不知情的情况下批准恶意交易。

模态钓鱼攻击的原理

模态钓鱼攻击主要针对加密货币钱包应用中的模态窗口进行操作。模态窗口是移动应用中常用的UI元素，通常显示在主界面之上，用于展示重要信息或请求用户操作，如批准交易等。

攻击者可以通过控制这些模态窗口中的某些UI元素来进行欺骗。例如，他们可以篡改显示的DApp信息、智能合约函数名称等，使其看起来像是来自合法应用的安全更新或其他可信操作。

两种主要的攻击方式

1. 利用Wallet Connect协议进行DApp钓鱼： 攻击者可以伪造DApp信息，包括名称、图标和网址等。当用户通过Wallet Connect连接钱包时，这些虚假信息会显示在钱包的模态窗口中，使用户误以为正在与合法DApp交互。

2. 通过智能合约信息进行钓鱼： 以MetaMask为例，攻击者可以创建带有误导性函数名的智能合约，如"SecurityUpdate"。当用户与这些合约交互时，钱包会在模态窗口中显示这些名称，使交易看起来像是正常的安全更新。

漏洞的根本原因

这类攻击之所以可能发生，主要是因为钱包应用未能充分验证所显示信息的合法性。例如：

• Wallet Connect协议没有验证DApp提供的信息。
• 某些钱包直接信任并展示来自外部SDK的元数据。
• 智能合约的函数名称可以被恶意注册为误导性字符串。

防范建议

1. 钱包开发者应该:
   • 对所有外部数据保持怀疑态度，进行严格验证。
   • 仔细筛选向用户展示的信息。
   • 实施额外的安全措施来验证交易请求的真实性。

2. 用户应该:
   • 对每个未知的交易请求保持警惕。
   • 仔细检查交易详情，不要轻信模态窗口中显示的信息。
   • 在批准任何交易前，确认来源的可靠性。

结语

模态钓鱼攻击展示了Web3.0生态系统中存在的新型安全威胁。随着去中心化应用和钱包的普及，用户和开发者都需要提高警惕，采取更严格的安全措施来防范这类精心设计的欺诈手段。只有通过不断改进安全实践，我们才能在Web3.0的世界中构建更安全、更可信的用户体验。