Web3.0移動錢包新型安全威脅：模態釣魚攻擊

近期，安全研究人員發現了一種針對Web3.0移動錢包的新型網絡釣魚技術，被稱爲"模態釣魚攻擊"（Modal Phishing）。這種攻擊利用移動錢包應用中的模態窗口，通過顯示誤導性信息來誘騙用戶批準惡意交易。

模態釣魚攻擊的原理

模態釣魚攻擊主要針對加密貨幣錢包的模態窗口進行操作。模態窗口是移動應用中常見的用戶界面元素，通常用於顯示交易請求等重要信息。攻擊者可以操縱這些窗口中的某些UI元素，使其看起來像是來自合法應用的請求。

主要存在兩種攻擊方式：

1. 通過Wallet Connect協議控制DApp信息
2. 操縱某些錢包應用中的智能合約信息顯示

Wallet Connect協議漏洞

Wallet Connect是一種廣泛使用的開源協議，用於連接用戶錢包與DApp。研究發現，該協議在傳輸DApp信息時並未進行有效性驗證。攻擊者可以僞造DApp的名稱、網址和圖標等信息，使釣魚請求看起來像是來自合法應用。

智能合約信息釣魚

以某知名移動錢包爲例，其在顯示交易類型時會讀取智能合約的籤名字節，並查詢相應的方法名稱。攻擊者可以創建具有誤導性名稱（如"SecurityUpdate"）的惡意智能合約，使交易請求看起來像是安全更新。

防範建議

對於錢包開發者：

• 始終假設外部傳入的數據不可信
• 仔細選擇向用戶展示的信息，並驗證其合法性
• 過濾可能被用於釣魚攻擊的詞語

對於用戶：

• 對每個未知的交易請求保持警惕
• 仔細檢查交易詳情，不要輕信模態窗口中顯示的信息
• 定期更新錢包應用，以獲得最新的安全防護

隨着Web3.0技術的發展，類似的安全威脅可能會不斷出現。用戶和開發者都需要提高安全意識，共同維護加密貨幣生態系統的安全。