Web3.0移动钱包新型安全风险：模态钓鱼攻击

近期，一种新型的网络钓鱼技术在Web3领域引起关注。这种攻击手法针对去中心化应用（DApp）的身份认证环节，可能会误导用户做出错误判断。

安全研究人员将这种新兴的网络钓鱼技术命名为"模态钓鱼攻击"（Modal Phishing）。

在这种攻击中，黑客可以向移动钱包发送伪造信息，冒充合法DApp。通过在钱包的模态窗口中显示误导性内容，诱使用户批准有问题的交易。目前，这种钓鱼手法已经开始广泛出现。相关开发团队已确认将推出新的验证API来降低风险。

模态钓鱼攻击的原理

在对移动钱包安全性的研究中，专家发现Web3钱包的某些用户界面元素可能被攻击者利用来进行钓鱼。之所以称为"模态钓鱼"，是因为攻击主要针对加密钱包的模态窗口。

模态窗口是移动应用中常见的UI元素，通常显示在主界面上层。这种设计便于用户快速操作，如批准或拒绝Web3钱包的交易请求。典型的Web3钱包模态窗口会提供交易详情供用户核对，并附有批准或拒绝的按钮。

然而，这些用户界面元素可能被黑客操控，用于模态钓鱼攻击。攻击者可以更改交易细节，将请求伪装成看似来自可信来源的"安全更新"等，诱导用户批准。

典型攻击案例

1. 利用Wallet Connect协议的DApp钓鱼

Wallet Connect是一个广泛使用的开源协议，用于通过二维码或深度链接连接用户钱包与DApp。在配对过程中，Web3钱包会显示一个模态窗口，展示DApp的名称、网址、图标等信息。

问题在于，钱包并不验证这些信息的真实性。攻击者可以提供虚假信息，冒充知名DApp。例如，某恶意应用可以假冒成Uniswap，诱导用户连接并批准交易。

实际测试表明，攻击者可以操控模态窗口中显示的DApp名称、网址和图标。由于使用https协议，甚至会显示一个锁定图标，增加可信度。一旦用户在假冒网站上操作，攻击者就能替换交易参数，窃取资金。

2. 通过MetaMask进行智能合约信息钓鱼

MetaMask等钱包在交易批准界面会显示智能合约的方法名称，如"Confirm"或"Unknown Method"。这个功能本意是帮助用户识别交易类型，但也可能被攻击者利用。

攻击者可以创建一个钓鱼智能合约，将方法名注册为"SecurityUpdate"等具有误导性的字符串。当用户查看交易详情时，会看到一个看似来自MetaMask的"安全更新"请求，增加了用户批准的可能性。

防范建议

1. 钱包开发者应该始终假设外部数据不可信，仔细选择向用户展示的信息，并验证其合法性。

2. 考虑在UI中过滤可能被用于钓鱼的敏感词。

3. 用户应对每个未知的交易请求保持警惕，仔细核对交易详情。

4. Wallet Connect等协议可以考虑增加DApp信息验证机制。

5. 钱包应用应改进对智能合约方法名称的显示逻辑，避免直接展示可能被滥用的信息。

随着Web3技术的发展，新型安全威胁不断出现。用户和开发者都需要保持警惕，共同维护生态系统的安全。