Web3.0移動錢包面臨新型釣魚威脅：模態釣魚攻擊

研究人員最近發現了一種針對Web3.0移動錢包的新型網絡釣魚技術，被稱爲"模態釣魚攻擊"（Modal Phishing）。這種攻擊手法主要利用移動錢包應用中的模態窗口來誤導用戶，使其在不知情的情況下批準惡意交易。

模態釣魚攻擊的原理

模態釣魚攻擊主要針對加密貨幣錢包應用中的模態窗口進行操作。模態窗口是移動應用中常用的UI元素，通常顯示在主界面之上，用於展示重要信息或請求用戶操作，如批準交易等。

攻擊者可以通過控制這些模態窗口中的某些UI元素來進行欺騙。例如，他們可以篡改顯示的DApp信息、智能合約函數名稱等，使其看起來像是來自合法應用的安全更新或其他可信操作。

兩種主要的攻擊方式

1. 利用Wallet Connect協議進行DApp釣魚： 攻擊者可以僞造DApp信息，包括名稱、圖標和網址等。當用戶通過Wallet Connect連接錢包時，這些虛假信息會顯示在錢包的模態窗口中，使用戶誤以爲正在與合法DApp交互。

2. 通過智能合約信息進行釣魚： 以MetaMask爲例，攻擊者可以創建帶有誤導性函數名的智能合約，如"SecurityUpdate"。當用戶與這些合約交互時，錢包會在模態窗口中顯示這些名稱，使交易看起來像是正常的安全更新。

漏洞的根本原因

這類攻擊之所以可能發生，主要是因爲錢包應用未能充分驗證所顯示信息的合法性。例如：

• Wallet Connect協議沒有驗證DApp提供的信息。
• 某些錢包直接信任並展示來自外部SDK的元數據。
• 智能合約的函數名稱可以被惡意註冊爲誤導性字符串。

防範建議

1. 錢包開發者應該:
   • 對所有外部數據保持懷疑態度，進行嚴格驗證。
   • 仔細篩選向用戶展示的信息。
   • 實施額外的安全措施來驗證交易請求的真實性。

2. 用戶應該:
   • 對每個未知的交易請求保持警惕。
   • 仔細檢查交易詳情，不要輕信模態窗口中顯示的信息。
   • 在批準任何交易前，確認來源的可靠性。

結語

模態釣魚攻擊展示了Web3.0生態系統中存在的新型安全威脅。隨着去中心化應用和錢包的普及，用戶和開發者都需要提高警惕，採取更嚴格的安全措施來防範這類精心設計的欺詐手段。只有通過不斷改進安全實踐，我們才能在Web3.0的世界中構建更安全、更可信的用戶體驗。