Web3移動錢包安全風險:模態釣魚攻擊詳解

近期,一種針對Web3移動錢包的新型網絡釣魚技術被發現,這種攻擊主要利用錢包應用中的模態窗口來誤導用戶。我們將這種新型釣魚技術命名爲"模態釣魚攻擊"(Modal Phishing)。

在這種攻擊中,黑客可以向移動錢包發送僞造的信息,冒充合法的去中心化應用(DApp),並通過在錢包的模態窗口中顯示誤導性信息來誘騙用戶批準交易。這種技術正被廣泛使用,相關開發人員已確認將發布新的驗證API以降低風險。

什麼是模態釣魚攻擊?

模態釣魚攻擊主要針對加密錢包的模態窗口進行。模態(或模態窗口)是移動應用中常用的UI元素,通常顯示在應用主窗口頂部,用於方便用戶執行快速操作,如批準/拒絕Web3錢包的交易請求。

典型的Web3錢包模態窗口設計通常提供交易詳情供用戶檢查,以及批準或拒絕的按鈕。然而,這些UI元素可能被攻擊者控制,用於進行釣魚攻擊。

模態釣魚攻擊的兩種典型案例

1. 通過Wallet Connect進行DApp釣魚攻擊

Wallet Connect是一個流行的開源協議,用於通過二維碼或深度連結連接用戶錢包與DApp。在配對過程中,Web3錢包會顯示一個模態窗口,展示傳入配對請求的元信息,包括DApp的名稱、網址、圖標和描述。

然而,這些信息是由DApp提供的,錢包並不驗證其真實性。攻擊者可以僞造這些信息,假冒合法DApp。例如,攻擊者可以聲稱自己是Uniswap,並連接用戶的錢包,誘騙用戶批準交易。

2. 通過智能合約信息進行釣魚

某些錢包應用在交易批準模態窗口中會顯示智能合約的方法名稱。這個UI元素也可能被攻擊者控制。

例如,攻擊者可以創建一個釣魚智能合約,其中包含一個名爲"SecurityUpdate"的支付函數。當錢包解析這個合約時,它會在批準模態中向用戶展示"Security Update"的字樣,使交易看起來更加可信。

防範建議

1. 錢包應用開發者應始終假設外部傳入的數據不可信,仔細選擇向用戶展示哪些信息,並驗證這些信息的合法性。

2. 用戶應對每個未知的交易請求保持警惕,不要輕易相信模態窗口中顯示的信息。

3. DApp連接協議(如Wallet Connect)應考慮提前驗證DApp信息的有效性和合法性。

4. 錢包應用應監測並過濾可能被用於釣魚攻擊的詞語。

總之,模態釣魚攻擊利用了錢包應用未能徹底驗證所呈現UI元素合法性的漏洞。提高對這類攻擊的認識,加強驗證機制,對保護Web3用戶資產安全至關重要。