Web3.0移動錢包新型騙局揭祕：模態釣魚攻擊

近期，我們發現了一種針對Web3.0移動錢包的新型網絡釣魚技術，這種技術可能會誤導用戶在連接去中心化應用（DApp）時做出錯誤判斷。我們將這種新型網絡釣魚技術命名爲"模態釣魚攻擊"（Modal Phishing）。

在這種攻擊中，黑客可以向移動錢包發送僞造信息，冒充合法DApp，並通過在錢包的模態窗口中顯示誤導性信息來誘騙用戶批準交易。目前，這種網絡釣魚技術正在被廣泛使用。我們已經與相關組件開發人員進行了溝通，他們表示將發布新的驗證API以降低這一風險。

模態釣魚攻擊的原理

在對移動錢包進行安全研究時，我們注意到Web3.0加密錢包的某些用戶界面（UI）元素可能被攻擊者控制，從而進行網絡釣魚攻擊。之所以稱之爲模態釣魚，是因爲攻擊者主要針對加密錢包的模態窗口進行操作。

模態窗口是移動應用程序中常用的UI元素，通常顯示在應用程序主窗口頂部。這種設計常用於方便用戶執行快速操作，如批準或拒絕Web3.0加密錢包的交易請求。典型的Web3.0加密錢包模態窗口設計通常提供必要的交易信息供用戶檢查，以及批準或拒絕請求的按鈕。

然而，這些用戶界面元素可能被攻擊者控制，用於實施模態釣魚攻擊。攻擊者可以更改交易細節，將交易請求僞裝成來自可信來源的安全更新請求，以誘使用戶批準。

模態釣魚攻擊的兩個典型案例

案例1：通過Wallet Connect進行DApp釣魚攻擊

Wallet Connect是一個廣受歡迎的開源協議，用於通過二維碼或深度連結將用戶的錢包與DApp連接。在Web3.0加密錢包和DApp的配對過程中，錢包會顯示一個模態窗口，展示傳入配對請求的元信息，包括DApp的名稱、網站地址、圖標和描述。

然而，這些信息是由DApp提供的，錢包並不驗證其真實性。在網絡釣魚攻擊中，攻擊者可以假冒合法DApp，誘騙用戶與其連接。攻擊者可以控制DApp信息UI元素（如名稱、圖標等），從而欺騙用戶批準傳入的交易。

案例2：通過MetaMask進行智能合約信息網絡釣魚

在MetaMask的交易批準模態窗口中，除了DApp信息外，還有一個顯示交易類型的UI元素。MetaMask會讀取智能合約的籤名字節，並使用鏈上方法註冊表查詢相應的方法名稱。然而，這也可能被攻擊者利用。

攻擊者可以創建一個釣魚智能合約，其中包含一個名爲"SecurityUpdate"的函數，並將其註冊爲人類可讀的字符串。當MetaMask解析這個釣魚智能合約時，它會在批準模態中向用戶呈現這個函數名稱，使交易看起來像是一個安全更新請求。

防範建議

1. 錢包應用程序開發者應該始終假設外部傳入的數據是不可信的，仔細選擇向用戶展示哪些信息，並驗證這些信息的合法性。

2. 用戶應對每個未知的交易請求保持警惕，不要輕易相信模態窗口中顯示的信息。

3. Wallet Connect等協議開發者應考慮提前驗證DApp信息的有效性和合法性。

4. 錢包應用開發者應採取預防措施，過濾可能被用於網絡釣魚攻擊的詞語。

總之，模態釣魚攻擊的根本原因在於錢包應用程序沒有徹底驗證所呈現UI元素的合法性。爲了確保Web3.0生態系統的安全，開發者和用戶都需要提高警惕，採取必要的防護措施。