Web3移动钱包安全风险:模态钓鱼攻击详解

近期,一种针对Web3移动钱包的新型网络钓鱼技术被发现,这种攻击主要利用钱包应用中的模态窗口来误导用户。我们将这种新型钓鱼技术命名为"模态钓鱼攻击"(Modal Phishing)。

在这种攻击中,黑客可以向移动钱包发送伪造的信息,冒充合法的去中心化应用(DApp),并通过在钱包的模态窗口中显示误导性信息来诱骗用户批准交易。这种技术正被广泛使用,相关开发人员已确认将发布新的验证API以降低风险。

什么是模态钓鱼攻击?

模态钓鱼攻击主要针对加密钱包的模态窗口进行。模态(或模态窗口)是移动应用中常用的UI元素,通常显示在应用主窗口顶部,用于方便用户执行快速操作,如批准/拒绝Web3钱包的交易请求。

典型的Web3钱包模态窗口设计通常提供交易详情供用户检查,以及批准或拒绝的按钮。然而,这些UI元素可能被攻击者控制,用于进行钓鱼攻击。

模态钓鱼攻击的两种典型案例

1. 通过Wallet Connect进行DApp钓鱼攻击

Wallet Connect是一个流行的开源协议,用于通过二维码或深度链接连接用户钱包与DApp。在配对过程中,Web3钱包会显示一个模态窗口,展示传入配对请求的元信息,包括DApp的名称、网址、图标和描述。

然而,这些信息是由DApp提供的,钱包并不验证其真实性。攻击者可以伪造这些信息,假冒合法DApp。例如,攻击者可以声称自己是Uniswap,并连接用户的钱包,诱骗用户批准交易。

2. 通过智能合约信息进行钓鱼

某些钱包应用在交易批准模态窗口中会显示智能合约的方法名称。这个UI元素也可能被攻击者控制。

例如,攻击者可以创建一个钓鱼智能合约,其中包含一个名为"SecurityUpdate"的支付函数。当钱包解析这个合约时,它会在批准模态中向用户展示"Security Update"的字样,使交易看起来更加可信。

防范建议

1. 钱包应用开发者应始终假设外部传入的数据不可信,仔细选择向用户展示哪些信息,并验证这些信息的合法性。

2. 用户应对每个未知的交易请求保持警惕,不要轻易相信模态窗口中显示的信息。

3. DApp连接协议(如Wallet Connect)应考虑提前验证DApp信息的有效性和合法性。

4. 钱包应用应监测并过滤可能被用于钓鱼攻击的词语。

总之,模态钓鱼攻击利用了钱包应用未能彻底验证所呈现UI元素合法性的漏洞。提高对这类攻击的认识,加强验证机制,对保护Web3用户资产安全至关重要。