Web3.0移动钱包新型安全风险：模态钓鱼攻击

近期，安全专家发现了一种新型的网络钓鱼技术，该技术可能会在连接去中心化应用(DApp)身份验证过程中误导用户。这种新型攻击被命名为"模态钓鱼攻击"(Modal Phishing)。

攻击者可以向移动钱包发送伪造信息，冒充合法DApp，并通过在钱包的模态窗口中显示误导性信息来诱骗用户批准交易。这种钓鱼技术正在广泛使用。相关组件开发人员已确认将发布新的验证API以降低该风险。

模态钓鱼攻击的原理

在对移动钱包的安全研究中，专家注意到Web3.0加密钱包的某些用户界面(UI)元素可被攻击者控制用于钓鱼攻击。之所以称为模态钓鱼，是因为攻击者主要针对加密钱包的模态窗口进行操作。

模态窗口是移动应用程序中常用的UI元素，通常显示在主窗口顶部，用于方便用户执行快速操作，如批准/拒绝Web3.0钱包的交易请求。典型的Web3.0钱包模态设计通常提供必要的请求信息供用户检查，以及批准或拒绝的按钮。

然而，这些用户界面元素可能被攻击者控制以进行模态钓鱼攻击。攻击者可以更改交易细节，将交易请求伪装成来自可信来源的"安全更新"请求，以诱使用户批准。

典型攻击案例

1. 通过Wallet Connect进行DApp钓鱼攻击

Wallet Connect协议是一个广受欢迎的开源协议，用于通过二维码或深度链接将用户的钱包与DApp连接。在配对过程中，Web3.0钱包会展示一个模态窗口，显示传入配对请求的元信息，包括DApp的名称、网站地址、图标和描述。

然而，这些信息是由DApp提供的，钱包并不验证其真实性。攻击者可以假冒合法DApp，诱骗用户与之连接。在配对过程中，钱包内显示的模态窗口会呈现看似合法的DApp信息，增加了攻击的可信度。

2. 通过某加密钱包进行智能合约信息网络钓鱼

在某些加密钱包的批准模态中，会显示一个用于识别交易类型的字符串。钱包会读取智能合约的签名字节，并使用链上方法注册表查询相应的方法名称。然而，这也为攻击者提供了另一个可控制的UI元素。

攻击者可以建立一个钓鱼智能合约，其函数名被注册为"SecurityUpdate"等具有迷惑性的字符串。当钱包解析这个钓鱼智能合约时，它会在批准模态中向用户呈现这个看似可信的函数名称。

防范建议

1. 钱包应用程序开发者应始终假设外部传入的数据是不可信的，仔细选择向用户展示哪些信息，并验证这些信息的合法性。

2. 用户应对每个未知的交易请求保持警惕，不要轻易相信看似来自可信来源的更新或安全请求。

3. Wallet Connect等协议开发者应考虑提前验证DApp信息的有效性和合法性。

4. 钱包应用应采取预防措施，过滤掉可能被用于网络钓鱼攻击的词语。

总之，Web3.0加密钱包的模态窗口中的某些UI元素可能被攻击者操纵，创造出极具欺骗性的钓鱼陷阱。用户和开发者都应提高警惕，共同维护Web3生态的安全。