Web3移動錢包新型安全威脅：模態釣魚攻擊

近期，安全研究人員發現了一種針對Web3移動錢包的新型網絡釣魚技術，被稱爲"模態釣魚攻擊"(Modal Phishing)。這種攻擊手法利用了移動錢包應用中常見的模態窗口UI元素，通過顯示誤導性信息來誘騙用戶批準惡意交易。

模態釣魚攻擊的原理

模態釣魚攻擊主要針對加密貨幣錢包應用中用於交易確認的模態窗口。攻擊者可以操縱這些窗口中的某些UI元素，使其顯示虛假或誤導性的信息，從而欺騙用戶批準惡意交易。

這種攻擊手法主要利用了兩個漏洞：

1. 通過Wallet Connect協議進行DApp釣魚：攻擊者可以控制連接請求中的DApp信息，如名稱、圖標等，使釣魚應用僞裝成合法DApp。

2. 智能合約信息釣魚：某些錢包應用會在模態窗口中顯示智能合約的函數名稱，攻擊者可以註冊誤導性的函數名來欺騙用戶。

攻擊案例分析

DApp釣魚

研究人員演示了如何創建一個僞造的DApp，聲稱自己是Uniswap或Metamask等知名應用。當用戶嘗試連接錢包時，模態窗口會顯示看似合法的應用信息，包括名稱、網址和圖標。這可能會誤導用戶相信他們正在與真實的DApp交互。

智能合約信息釣魚

以某知名移動錢包爲例，攻擊者可以創建一個釣魚智能合約，並將其函數名註冊爲"SecurityUpdate"。當用戶收到交易請求時，模態窗口會顯示這個誤導性的函數名，使交易看起來像是來自錢包應用本身的安全更新。

安全建議

爲了防範模態釣魚攻擊，研究人員提出了以下建議：

1. 錢包應用開發者應該始終驗證外部傳入數據的合法性，不應盲目信任和展示這些信息。

2. Wallet Connect協議應考慮增加DApp信息驗證機制。

3. 錢包應用應過濾可能被用於釣魚的敏感詞語。

4. 用戶應對每個未知的交易請求保持警惕，仔細核實交易詳情。

總之，模態釣魚攻擊揭示了Web3移動錢包在用戶界面設計和信息驗證方面的潛在安全隱患。隨着這類攻擊手法的曝光，業界有望採取更嚴格的安全措施，以提高用戶資產的保護水平。