Web3.0移動錢包新型網絡釣魚技術：模態釣魚攻擊

近期，我們發現了一種針對Web3.0移動錢包的新型網絡釣魚技術，可能會誤導用戶在連接去中心化應用(DApp)時泄露身分信息。我們將這種新型攻擊方式命名爲"模態釣魚攻擊"(Modal Phishing)。

攻擊者通過向移動錢包發送僞造信息來冒充合法DApp，並在錢包的模態窗口中顯示誤導性內容，誘使用戶批準交易。這種釣魚技術正在廣泛使用。相關組件開發人員已確認將發布新的驗證API以降低風險。

模態釣魚攻擊的原理

在對移動錢包的安全研究中，我們注意到Web3.0錢包的某些用戶界面(UI)元素可被攻擊者控制用於釣魚。這種技術之所以被稱爲模態釣魚，是因爲攻擊者主要針對加密錢包的模態窗口進行操作。

模態窗口是移動應用中常見的UI元素，通常顯示在主窗口頂部，用於快速操作如批準/拒絕交易請求。Web3.0錢包的典型模態設計包含交易詳情和批準/拒絕按鈕，供用戶檢查和操作。

然而，這些UI元素可能被攻擊者控制。例如，攻擊者可以更改交易細節，將請求僞裝成來自"Metamask"的"安全更新"，以誘使用戶批準。

典型攻擊案例

1. 通過Wallet Connect進行DApp釣魚

Wallet Connect是一種流行的開源協議，用於連接用戶錢包與DApp。在配對過程中，錢包會顯示包含DApp名稱、網址和圖標等信息的模態窗口。然而，這些信息由DApp提供，錢包並不驗證其真實性。

攻擊者可以假冒合法DApp，提供虛假信息。例如，攻擊者可以聲稱自己是Uniswap，連接用戶的Metamask錢包，誘騙用戶批準交易。由於顯示的信息看似合法，用戶很容易被欺騙。

2. 通過Metamask進行智能合約信息釣魚

Metamask在交易批準模態中顯示智能合約的方法名稱。攻擊者可以創建帶有誤導性名稱的釣魚智能合約，如"SecurityUpdate"，並在鏈上註冊這個名稱。當Metamask解析合約時，會在模態窗口中顯示這個名稱，使交易請求看起來更可信。

結合這些可控UI元素，攻擊者可以創建一個看似來自"Metamask"的"安全更新"請求，誘使用戶批準。

防範建議

1. 錢包開發者應該假設外部數據不可信，仔細選擇向用戶展示的信息，並驗證其合法性。

2. Wallet Connect等協議應提前驗證DApp信息的有效性。

3. 錢包應用應監測並過濾可能被用於釣魚的詞語。

4. 用戶應對每個未知的交易請求保持警惕，仔細驗證交易詳情。

模態釣魚攻擊利用了用戶對錢包UI的信任，通過操縱某些UI元素創造出極具說服力的釣魚陷阱。認識到這一威脅，並採取相應的防護措施，對於保障Web3.0生態系統的安全至關重要。