Web3移動錢包新型釣魚攻擊：模態釣魚

近期，安全研究人員發現了一種針對Web3移動錢包的新型釣魚技術，被命名爲"模態釣魚攻擊"(Modal Phishing)。這種攻擊方式主要利用移動錢包應用中的模態窗口，通過顯示誤導性信息來誘騙用戶批準惡意交易。

模態釣魚攻擊的原理

模態窗口是移動應用中常見的UI元素，通常用於顯示交易請求等重要信息。在Web3錢包中，模態窗口會展示交易詳情並提供批準或拒絕選項。然而，研究發現這些窗口中的某些UI元素可被攻擊者控制，從而實施釣魚攻擊。

主要存在兩種攻擊方式：

1. 通過Wallet Connect協議操縱DApp信息
2. 操縱智能合約信息顯示

Wallet Connect協議漏洞

Wallet Connect是廣泛使用的開源協議，用於連接用戶錢包與DApp。在配對過程中，錢包會顯示DApp的名稱、網址和圖標等信息。但這些信息由DApp提供，錢包並不驗證其真實性。攻擊者可以僞造這些信息，冒充知名DApp誘騙用戶。

智能合約信息操縱

以某知名錢包爲例，其交易批準界面會顯示智能合約的方法名稱。這一信息來自鏈上方法註冊表，可被攻擊者利用。通過註冊帶有誤導性名稱的合約方法，攻擊者可以在交易批準界面顯示"安全更新"等欺騙性文字。

防範建議

爲應對這類攻擊，錢包開發者應採取以下措施：

1. 對外部傳入的數據進行嚴格驗證，不輕信任何未經驗證的信息。
2. 謹慎選擇向用戶展示的信息，並驗證其合法性。
3. 過濾可能被用於釣魚攻擊的敏感詞語。

對於用戶而言，應對每個未知的交易請求保持警惕，仔細核實交易詳情，不輕易批準來歷不明的請求。

隨着Web3生態的發展，類似的安全威脅可能會不斷出現。錢包開發者和用戶都需要提高安全意識，共同維護Web3環境的安全。