Web3.0移动钱包新型钓鱼攻击：模态窗口欺骗

近期，一种针对Web3.0移动钱包的新型网络钓鱼技术引起了安全专家的关注。这种攻击手法被称为"模态钓鱼攻击"（Modal Phishing），主要利用移动钱包应用中的模态窗口来误导用户。

攻击者通过向移动钱包发送虚假信息，伪装成合法的去中心化应用（DApp），并在钱包的模态窗口中显示误导性内容，诱使用户批准恶意交易。这种钓鱼技术目前已在多个平台上被广泛使用。

模态钓鱼攻击的原理

模态窗口是移动应用中常见的用户界面元素，通常用于显示交易请求等重要信息。在Web3.0钱包中，这些窗口会展示交易详情、请求方身份等关键信息，供用户审核并决定是否批准。

然而，研究发现这些模态窗口中的某些UI元素可被攻击者控制，从而进行钓鱼攻击。主要存在两个漏洞：

1. 使用Wallet Connect协议时，攻击者可以控制DApp的信息展示，如名称、图标等。
2. 某些钱包应用中，攻击者可以操纵智能合约信息的显示。

典型攻击案例

案例1：通过Wallet Connect的DApp钓鱼

Wallet Connect是一种流行的开源协议，用于连接用户钱包与DApp。在配对过程中，钱包会显示DApp提供的元信息，包括名称、网址、图标等。然而，这些信息并未经过验证。

攻击者可以伪造这些信息，冒充知名DApp（如Uniswap）诱导用户连接。一旦建立连接，攻击者就可以发送恶意交易请求，窃取用户资金。

案例2：MetaMask智能合约信息钓鱼

MetaMask等钱包在交易批准界面会显示智能合约的方法名称。攻击者可以注册具有误导性名称的智能合约方法（如"SecurityUpdate"），使交易请求看起来像是来自钱包官方的安全更新。

结合伪造的DApp信息，攻击者可以创建非常具有欺骗性的交易请求，诱使用户批准恶意操作。

防范建议

1. 钱包开发者应该始终将外部传入的数据视为不可信，对所有展示给用户的信息进行验证。

2. Wallet Connect等协议应考虑增加DApp信息的验证机制。

3. 钱包应用应监控并过滤可能被用于钓鱼的敏感词汇。

4. 用户在批准任何未知交易请求时应保持警惕，仔细核实交易信息。

5. 钱包提供商应加强对模态窗口等关键UI元素的安全设计。

总之，随着Web3.0生态的发展，用户和开发者都需要提高安全意识，共同应对不断演变的网络威胁。对于每一笔交易请求，保持适度怀疑和谨慎态度至关重要。