Web3移动钱包新型钓鱼攻击：模态钓鱼

近期，安全研究人员发现了一种针对Web3移动钱包的新型钓鱼技术，被命名为"模态钓鱼攻击"(Modal Phishing)。这种攻击方式主要利用移动钱包应用中的模态窗口，通过显示误导性信息来诱骗用户批准恶意交易。

模态钓鱼攻击的原理

模态窗口是移动应用中常见的UI元素，通常用于显示交易请求等重要信息。在Web3钱包中，模态窗口会展示交易详情并提供批准或拒绝选项。然而，研究发现这些窗口中的某些UI元素可被攻击者控制，从而实施钓鱼攻击。

主要存在两种攻击方式：

1. 通过Wallet Connect协议操纵DApp信息
2. 操纵智能合约信息显示

Wallet Connect协议漏洞

Wallet Connect是广泛使用的开源协议，用于连接用户钱包与DApp。在配对过程中，钱包会显示DApp的名称、网址和图标等信息。但这些信息由DApp提供，钱包并不验证其真实性。攻击者可以伪造这些信息，冒充知名DApp诱骗用户。

智能合约信息操纵

以某知名钱包为例，其交易批准界面会显示智能合约的方法名称。这一信息来自链上方法注册表，可被攻击者利用。通过注册带有误导性名称的合约方法，攻击者可以在交易批准界面显示"安全更新"等欺骗性文字。

防范建议

为应对这类攻击，钱包开发者应采取以下措施：

1. 对外部传入的数据进行严格验证，不轻信任何未经验证的信息。
2. 谨慎选择向用户展示的信息，并验证其合法性。
3. 过滤可能被用于钓鱼攻击的敏感词语。

对于用户而言，应对每个未知的交易请求保持警惕，仔细核实交易详情，不轻易批准来历不明的请求。

随着Web3生态的发展，类似的安全威胁可能会不断出现。钱包开发者和用户都需要提高安全意识，共同维护Web3环境的安全。