Web3.0移動錢包新型釣魚攻擊：模態窗口欺騙

近期，一種針對Web3.0移動錢包的新型網絡釣魚技術引起了安全專家的關注。這種攻擊手法被稱爲"模態釣魚攻擊"（Modal Phishing），主要利用移動錢包應用中的模態窗口來誤導用戶。

攻擊者通過向移動錢包發送虛假信息，僞裝成合法的去中心化應用（DApp），並在錢包的模態窗口中顯示誤導性內容，誘使用戶批準惡意交易。這種釣魚技術目前已在多個平台上被廣泛使用。

模態釣魚攻擊的原理

模態窗口是移動應用中常見的用戶界面元素，通常用於顯示交易請求等重要信息。在Web3.0錢包中，這些窗口會展示交易詳情、請求方身分等關鍵信息，供用戶審核並決定是否批準。

然而，研究發現這些模態窗口中的某些UI元素可被攻擊者控制，從而進行釣魚攻擊。主要存在兩個漏洞：

1. 使用Wallet Connect協議時，攻擊者可以控制DApp的信息展示，如名稱、圖標等。
2. 某些錢包應用中，攻擊者可以操縱智能合約信息的顯示。

典型攻擊案例

案例1：通過Wallet Connect的DApp釣魚

Wallet Connect是一種流行的開源協議，用於連接用戶錢包與DApp。在配對過程中，錢包會顯示DApp提供的元信息，包括名稱、網址、圖標等。然而，這些信息並未經過驗證。

攻擊者可以僞造這些信息，冒充知名DApp（如Uniswap）誘導用戶連接。一旦建立連接，攻擊者就可以發送惡意交易請求，竊取用戶資金。

案例2：MetaMask智能合約信息釣魚

MetaMask等錢包在交易批準界面會顯示智能合約的方法名稱。攻擊者可以註冊具有誤導性名稱的智能合約方法（如"SecurityUpdate"），使交易請求看起來像是來自錢包官方的安全更新。

結合僞造的DApp信息，攻擊者可以創建非常具有欺騙性的交易請求，誘使用戶批準惡意操作。

防範建議

1. 錢包開發者應該始終將外部傳入的數據視爲不可信，對所有展示給用戶的信息進行驗證。

2. Wallet Connect等協議應考慮增加DApp信息的驗證機制。

3. 錢包應用應監控並過濾可能被用於釣魚的敏感詞匯。

4. 用戶在批準任何未知交易請求時應保持警惕，仔細核實交易信息。

5. 錢包提供商應加強對模態窗口等關鍵UI元素的安全設計。

總之，隨着Web3.0生態的發展，用戶和開發者都需要提高安全意識，共同應對不斷演變的網路威脅。對於每一筆交易請求，保持適度懷疑和謹慎態度至關重要。