Web3.0移動錢包新型網絡釣魚技術：模態釣魚攻擊

近期，一種新型網絡釣魚技術被發現，它可能會誤導用戶在連接去中心化應用(DApp)時的身分認證。我們將這種新型網絡釣魚技術命名爲"模態釣魚攻擊"(Modal Phishing)。

攻擊者通過向移動錢包發送僞造信息，冒充合法DApp，並在錢包的模態窗口中顯示誤導性內容，誘使用戶批準交易。這種技術正在廣泛使用。相關開發人員已確認將推出新的驗證API以降低風險。

什麼是模態釣魚攻擊？

在對移動錢包的安全研究中，我們注意到Web3.0加密錢包的某些用戶界面(UI)元素可被攻擊者操控來進行網絡釣魚。之所以稱爲模態釣魚，是因爲攻擊主要針對加密錢包的模態窗口。

模態(或模態窗口)是移動應用中常用的UI元素，通常顯示在主窗口頂部，用於快速操作，如批準/拒絕Web3.0錢包的交易請求。典型的Web3.0錢包模態設計通常提供交易詳情和批準/拒絕按鈕。

然而，這些UI元素可能被攻擊者控制進行模態釣魚攻擊。攻擊者可以更改交易細節，將請求僞裝成來自可信來源的安全更新，誘使用戶批準。

典型案例

案例1：通過Wallet Connect進行DApp釣魚攻擊

Wallet Connect是一個流行的開源協議，用於通過二維碼或深度連結將用戶錢包與DApp連接。在配對過程中，錢包會顯示一個模態窗口，展示DApp的名稱、網址、圖標等信息。

然而，這些信息由DApp提供，錢包並不驗證其真實性。攻擊者可以假冒知名DApp，誘騙用戶連接並批準交易。

不同錢包的模態設計可能不同，但攻擊者始終可以控制元信息。攻擊者可以創建虛假DApp，在交易批準模態中冒充知名應用。

案例2：通過MetaMask進行智能合約信息釣魚

MetaMask的交易批準模態中，除了DApp信息，還會顯示交易類型，如"Confirm"或"Unknown Method"。這個UI元素是通過讀取智能合約的籤名字節並查詢鏈上方法註冊表獲得的。

攻擊者可以利用這一機制，創建帶有誤導性方法名的釣魚智能合約。例如，將方法名註冊爲"SecurityUpdate"，使交易請求看起來像是來自MetaMask的安全更新。

防範建議

1. 錢包開發者應始終假設外部數據不可信，仔細選擇向用戶展示的信息，並驗證其合法性。

2. Wallet Connect協議可以考慮提前驗證DApp信息的有效性和合法性。

3. 錢包應用應監測並過濾可能被用於釣魚攻擊的詞語。

4. 用戶應對每個未知的交易請求保持警惕，仔細核實交易詳情。

模態釣魚攻擊揭示了Web3.0錢包UI設計中的潛在安全隱患。開發者和用戶都應提高警惕，共同維護Web3生態系統的安全。