Web3.0移动钱包新型安全威胁：模态钓鱼攻击

近期，安全研究人员发现了一种针对Web3.0移动钱包的新型网络钓鱼技术，被称为"模态钓鱼攻击"（Modal Phishing）。这种攻击利用移动钱包应用中的模态窗口，通过显示误导性信息来诱骗用户批准恶意交易。

模态钓鱼攻击的原理

模态钓鱼攻击主要针对加密货币钱包的模态窗口进行操作。模态窗口是移动应用中常见的用户界面元素，通常用于显示交易请求等重要信息。攻击者可以操纵这些窗口中的某些UI元素，使其看起来像是来自合法应用的请求。

主要存在两种攻击方式：

1. 通过Wallet Connect协议控制DApp信息
2. 操纵某些钱包应用中的智能合约信息显示

Wallet Connect协议漏洞

Wallet Connect是一种广泛使用的开源协议，用于连接用户钱包与DApp。研究发现，该协议在传输DApp信息时并未进行有效性验证。攻击者可以伪造DApp的名称、网址和图标等信息，使钓鱼请求看起来像是来自合法应用。

智能合约信息钓鱼

以某知名移动钱包为例，其在显示交易类型时会读取智能合约的签名字节，并查询相应的方法名称。攻击者可以创建具有误导性名称（如"SecurityUpdate"）的恶意智能合约，使交易请求看起来像是安全更新。

防范建议

对于钱包开发者：

• 始终假设外部传入的数据不可信
• 仔细选择向用户展示的信息，并验证其合法性
• 过滤可能被用于钓鱼攻击的词语

对于用户：

• 对每个未知的交易请求保持警惕
• 仔细检查交易详情，不要轻信模态窗口中显示的信息
• 定期更新钱包应用，以获得最新的安全防护

随着Web3.0技术的发展，类似的安全威胁可能会不断出现。用户和开发者都需要提高安全意识，共同维护加密货币生态系统的安全。