Web3.0移動錢包新型安全風險：模態釣魚攻擊

近期，一種新型的網絡釣魚技術在Web3領域引起關注。這種攻擊手法針對去中心化應用（DApp）的身分認證環節，可能會誤導用戶做出錯誤判斷。

安全研究人員將這種新興的網絡釣魚技術命名爲"模態釣魚攻擊"（Modal Phishing）。

在這種攻擊中，黑客可以向移動錢包發送僞造信息，冒充合法DApp。通過在錢包的模態窗口中顯示誤導性內容，誘使用戶批準有問題的交易。目前，這種釣魚手法已經開始廣泛出現。相關開發團隊已確認將推出新的驗證API來降低風險。

模態釣魚攻擊的原理

在對移動錢包安全性的研究中，專家發現Web3錢包的某些用戶界面元素可能被攻擊者利用來進行釣魚。之所以稱爲"模態釣魚"，是因爲攻擊主要針對加密錢包的模態窗口。

模態窗口是移動應用中常見的UI元素，通常顯示在主界面上層。這種設計便於用戶快速操作，如批準或拒絕Web3錢包的交易請求。典型的Web3錢包模態窗口會提供交易詳情供用戶核對，並附有批準或拒絕的按鈕。

然而，這些用戶界面元素可能被黑客操控，用於模態釣魚攻擊。攻擊者可以更改交易細節，將請求僞裝成看似來自可信來源的"安全更新"等，誘導用戶批準。

典型攻擊案例

1. 利用Wallet Connect協議的DApp釣魚

Wallet Connect是一個廣泛使用的開源協議，用於通過二維碼或深度連結連接用戶錢包與DApp。在配對過程中，Web3錢包會顯示一個模態窗口，展示DApp的名稱、網址、圖標等信息。

問題在於，錢包並不驗證這些信息的真實性。攻擊者可以提供虛假信息，冒充知名DApp。例如，某惡意應用可以假冒成Uniswap，誘導用戶連接並批準交易。

實際測試表明，攻擊者可以操控模態窗口中顯示的DApp名稱、網址和圖標。由於使用https協議，甚至會顯示一個鎖定圖標，增加可信度。一旦用戶在假冒網站上操作，攻擊者就能替換交易參數，竊取資金。

2. 通過MetaMask進行智能合約信息釣魚

MetaMask等錢包在交易批準界面會顯示智能合約的方法名稱，如"Confirm"或"Unknown Method"。這個功能本意是幫助用戶識別交易類型，但也可能被攻擊者利用。

攻擊者可以創建一個釣魚智能合約，將方法名註冊爲"SecurityUpdate"等具有誤導性的字符串。當用戶查看交易詳情時，會看到一個看似來自MetaMask的"安全更新"請求，增加了用戶批準的可能性。

防範建議

1. 錢包開發者應該始終假設外部數據不可信，仔細選擇向用戶展示的信息，並驗證其合法性。

2. 考慮在UI中過濾可能被用於釣魚的敏感詞。

3. 用戶應對每個未知的交易請求保持警惕，仔細核對交易詳情。

4. Wallet Connect等協議可以考慮增加DApp信息驗證機制。

5. 錢包應用應改進對智能合約方法名稱的顯示邏輯，避免直接展示可能被濫用的信息。

隨着Web3技術的發展，新型安全威脅不斷出現。用戶和開發者都需要保持警惕，共同維護生態系統的安全。