Web3.0移動錢包新型釣魚攻擊：模態窗口釣魚

近期，一種新型網絡釣魚技術在Web3.0領域引起關注。這種技術專門針對去中心化應用(DApp)的身分連接環節，通過欺騙性手段誤導受害者。我們將其命名爲"模態窗口釣魚攻擊"。

攻擊者利用移動錢包的模態窗口，向用戶展示虛假信息，僞裝成合法DApp，誘導用戶批準交易。這種釣魚手法正在廣泛傳播。相關組件開發人員已確認將推出新的驗證API以降低風險。

模態窗口釣魚攻擊的原理

在對移動錢包的安全研究中，我們發現Web3.0加密錢包的某些用戶界面元素可被攻擊者控制，用於實施釣魚攻擊。之所以稱爲模態窗口釣魚，是因爲攻擊主要針對加密錢包的模態窗口。

模態窗口是移動應用中常見的UI元素，通常顯示在主窗口頂部，用於快速操作，如批準或拒絕交易請求。典型的Web3.0錢包模態窗口設計包含交易詳情和操作按鈕。

然而，這些用戶界面元素可能被攻擊者操縱。攻擊者能夠更改交易細節，將交易請求僞裝成來自可信來源的重要更新，誘使用戶批準。

兩種典型攻擊案例

1. 通過Wallet Connect進行DApp釣魚

Wallet Connect是一個廣受歡迎的開源協議，用於連接用戶錢包與DApp。在配對過程中，Web3.0錢包會顯示一個模態窗口，展示DApp的名稱、網址、圖標等信息。然而，這些信息由DApp提供，錢包並不驗證其真實性。

攻擊者可以假冒知名DApp，誘導用戶連接並批準交易。例如，攻擊者可以僞裝成Uniswap，展示相似的名稱、網址和圖標，使模態窗口看起來非常真實。

不同錢包的模態設計雖有差異，但攻擊者始終能控制這些元信息。

2. 通過MetaMask進行智能合約信息釣魚

MetaMask的交易批準模態窗口中，除了DApp信息外，還會顯示交易類型。這個信息是通過讀取智能合約的籤名字節，並查詢鏈上方法註冊表獲得的。

攻擊者可以創建釣魚智能合約，將方法名註冊爲"SecurityUpdate"等具有誤導性的字符串。當MetaMask解析這個合約時，會在批準模態中向用戶展示這個名稱，使交易看起來像是重要的安全更新。

防範建議

1. 錢包開發者應該假設所有外部數據都不可信，仔細選擇向用戶展示的信息，並驗證其合法性。

2. Wallet Connect等協議應提前驗證DApp信息的有效性和合法性。

3. 錢包應用應監測並過濾可能被用於釣魚攻擊的詞語。

4. 用戶應對每個未知的交易請求保持警惕，不要輕易相信模態窗口中顯示的信息。

總之，模態窗口釣魚攻擊提醒我們，Web3.0生態系統中的安全問題仍需持續關注和改進。開發者和用戶都應提高警惕，共同維護Web3.0環境的安全。