Web3.0移动钱包新型网络钓鱼技术：模态钓鱼攻击

近期，我们发现了一种针对Web3.0移动钱包的新型网络钓鱼技术，可能会误导用户在连接去中心化应用(DApp)时泄露身份信息。我们将这种新型攻击方式命名为"模态钓鱼攻击"(Modal Phishing)。

攻击者通过向移动钱包发送伪造信息来冒充合法DApp，并在钱包的模态窗口中显示误导性内容，诱使用户批准交易。这种钓鱼技术正在广泛使用。相关组件开发人员已确认将发布新的验证API以降低风险。

模态钓鱼攻击的原理

在对移动钱包的安全研究中，我们注意到Web3.0钱包的某些用户界面(UI)元素可被攻击者控制用于钓鱼。这种技术之所以被称为模态钓鱼，是因为攻击者主要针对加密钱包的模态窗口进行操作。

模态窗口是移动应用中常见的UI元素，通常显示在主窗口顶部，用于快速操作如批准/拒绝交易请求。Web3.0钱包的典型模态设计包含交易详情和批准/拒绝按钮，供用户检查和操作。

然而，这些UI元素可能被攻击者控制。例如，攻击者可以更改交易细节，将请求伪装成来自"Metamask"的"安全更新"，以诱使用户批准。

典型攻击案例

1. 通过Wallet Connect进行DApp钓鱼

Wallet Connect是一种流行的开源协议，用于连接用户钱包与DApp。在配对过程中，钱包会显示包含DApp名称、网址和图标等信息的模态窗口。然而，这些信息由DApp提供，钱包并不验证其真实性。

攻击者可以假冒合法DApp，提供虚假信息。例如，攻击者可以声称自己是Uniswap，连接用户的Metamask钱包，诱骗用户批准交易。由于显示的信息看似合法，用户很容易被欺骗。

2. 通过Metamask进行智能合约信息钓鱼

Metamask在交易批准模态中显示智能合约的方法名称。攻击者可以创建带有误导性名称的钓鱼智能合约，如"SecurityUpdate"，并在链上注册这个名称。当Metamask解析合约时，会在模态窗口中显示这个名称，使交易请求看起来更可信。

结合这些可控UI元素，攻击者可以创建一个看似来自"Metamask"的"安全更新"请求，诱使用户批准。

防范建议

1. 钱包开发者应该假设外部数据不可信，仔细选择向用户展示的信息，并验证其合法性。

2. Wallet Connect等协议应提前验证DApp信息的有效性。

3. 钱包应用应监测并过滤可能被用于钓鱼的词语。

4. 用户应对每个未知的交易请求保持警惕，仔细验证交易详情。

模态钓鱼攻击利用了用户对钱包UI的信任，通过操纵某些UI元素创造出极具说服力的钓鱼陷阱。认识到这一威胁，并采取相应的防护措施，对于保障Web3.0生态系统的安全至关重要。