Web3.0移动钱包新型钓鱼攻击：模态窗口钓鱼

近期，一种新型网络钓鱼技术在Web3.0领域引起关注。这种技术专门针对去中心化应用(DApp)的身份连接环节，通过欺骗性手段误导受害者。我们将其命名为"模态窗口钓鱼攻击"。

攻击者利用移动钱包的模态窗口，向用户展示虚假信息，伪装成合法DApp，诱导用户批准交易。这种钓鱼手法正在广泛传播。相关组件开发人员已确认将推出新的验证API以降低风险。

模态窗口钓鱼攻击的原理

在对移动钱包的安全研究中，我们发现Web3.0加密钱包的某些用户界面元素可被攻击者控制，用于实施钓鱼攻击。之所以称为模态窗口钓鱼，是因为攻击主要针对加密钱包的模态窗口。

模态窗口是移动应用中常见的UI元素，通常显示在主窗口顶部，用于快速操作，如批准或拒绝交易请求。典型的Web3.0钱包模态窗口设计包含交易详情和操作按钮。

然而，这些用户界面元素可能被攻击者操纵。攻击者能够更改交易细节，将交易请求伪装成来自可信来源的重要更新，诱使用户批准。

两种典型攻击案例

1. 通过Wallet Connect进行DApp钓鱼

Wallet Connect是一个广受欢迎的开源协议，用于连接用户钱包与DApp。在配对过程中，Web3.0钱包会显示一个模态窗口，展示DApp的名称、网址、图标等信息。然而，这些信息由DApp提供，钱包并不验证其真实性。

攻击者可以假冒知名DApp，诱导用户连接并批准交易。例如，攻击者可以伪装成Uniswap，展示相似的名称、网址和图标，使模态窗口看起来非常真实。

不同钱包的模态设计虽有差异，但攻击者始终能控制这些元信息。

2. 通过MetaMask进行智能合约信息钓鱼

MetaMask的交易批准模态窗口中，除了DApp信息外，还会显示交易类型。这个信息是通过读取智能合约的签名字节，并查询链上方法注册表获得的。

攻击者可以创建钓鱼智能合约，将方法名注册为"SecurityUpdate"等具有误导性的字符串。当MetaMask解析这个合约时，会在批准模态中向用户展示这个名称，使交易看起来像是重要的安全更新。

防范建议

1. 钱包开发者应该假设所有外部数据都不可信，仔细选择向用户展示的信息，并验证其合法性。

2. Wallet Connect等协议应提前验证DApp信息的有效性和合法性。

3. 钱包应用应监测并过滤可能被用于钓鱼攻击的词语。

4. 用户应对每个未知的交易请求保持警惕，不要轻易相信模态窗口中显示的信息。

总之，模态窗口钓鱼攻击提醒我们，Web3.0生态系统中的安全问题仍需持续关注和改进。开发者和用户都应提高警惕，共同维护Web3.0环境的安全。