Web3.0移動錢包新型釣魚攻擊：模態釣魚

近期，我們發現了一種新型的網絡釣魚技術，專門針對連接去中心化應用（DApp）的身分驗證環節。我們將這種新型釣魚技術命名爲"模態釣魚攻擊"（Modal Phishing）。

在這種攻擊中，不法分子可以向移動錢包發送僞造信息，冒充合法DApp。通過在錢包的模態窗口中顯示誤導性信息，誘使用戶批準惡意交易。這種釣魚技術目前正被廣泛使用。我們已與相關組件開發人員溝通，他們將發布新的驗證API以降低風險。

什麼是模態釣魚？

在對移動錢包的安全研究中，我們注意到Web3.0錢包的某些用戶界面（UI）元素可被攻擊者控制，用於釣魚攻擊。之所以稱爲模態釣魚，是因爲攻擊者主要針對加密錢包的模態窗口展開攻擊。

模態（或模態窗口）是移動應用中常用的UI元素，通常顯示在應用主窗口頂部。這種設計便於用戶快速操作，如批準或拒絕Web3.0錢包的交易請求。

典型的Web3.0錢包模態設計通常提供必要信息供用戶檢查，如籤名請求，以及批準或拒絕的按鈕。

然而，這些用戶界面元素可能被攻擊者控制，用於模態釣魚攻擊。攻擊者可以更改交易細節，將交易請求僞裝成"安全更新"等看似合法的操作，誘使用戶批準。

攻擊案例分析

案例1：通過Wallet Connect進行DApp釣魚攻擊

Wallet Connect是一個廣受歡迎的開源協議，用於通過二維碼或深度連結連接用戶錢包與DApp。在配對過程中，Web3.0錢包會顯示一個模態窗口，展示傳入配對請求的元信息，包括DApp的名稱、網址、圖標和描述。

然而，這些信息由DApp提供，錢包並不驗證其真實性。攻擊者可以假冒合法DApp，誘騙用戶連接。在配對過程中，只要受害者想在假冒網站上操作，攻擊者就可以替換交易請求參數（如目標地址和金額）來竊取資金。

案例2：通過MetaMask進行智能合約信息釣魚

在MetaMask的批準模態中，有一個顯示交易類型的UI元素。MetaMask會讀取智能合約的籤名字節，並使用鏈上方法註冊表查詢相應的方法名稱。然而，這也創造了另一個可被攻擊者控制的UI元素。

攻擊者可以建立一個釣魚智能合約，將方法籤名註冊爲"SecurityUpdate"等誤導性名稱。當MetaMask解析這個合約時，它會在批準模態中向用戶呈現這個名稱，使交易請求看似來自"MetaMask"的"安全更新"。

防範建議

1. 錢包應用開發者應始終假設外部傳入的數據不可信，仔細選擇向用戶展示的信息，並驗證其合法性。

2. 用戶應對每個未知的交易請求保持警惕，仔細核實交易詳情。

3. Wallet Connect等協議應考慮提前驗證DApp信息的有效性和合法性。

4. 錢包應用應採取預防措施，過濾可能被用於釣魚攻擊的誤導性詞語。

總之，Web3.0錢包用戶界面的某些元素可能被攻擊者操縱，創造出看似真實的釣魚陷阱。用戶和開發者都應提高警惕，共同維護Web3.0生態系統的安全。