Web3.0移动钱包新型钓鱼攻击：模态钓鱼

近期，我们发现了一种新型的网络钓鱼技术，专门针对连接去中心化应用（DApp）的身份验证环节。我们将这种新型钓鱼技术命名为"模态钓鱼攻击"（Modal Phishing）。

在这种攻击中，不法分子可以向移动钱包发送伪造信息，冒充合法DApp。通过在钱包的模态窗口中显示误导性信息，诱使用户批准恶意交易。这种钓鱼技术目前正被广泛使用。我们已与相关组件开发人员沟通，他们将发布新的验证API以降低风险。

什么是模态钓鱼？

在对移动钱包的安全研究中，我们注意到Web3.0钱包的某些用户界面（UI）元素可被攻击者控制，用于钓鱼攻击。之所以称为模态钓鱼，是因为攻击者主要针对加密钱包的模态窗口展开攻击。

模态（或模态窗口）是移动应用中常用的UI元素，通常显示在应用主窗口顶部。这种设计便于用户快速操作，如批准或拒绝Web3.0钱包的交易请求。

典型的Web3.0钱包模态设计通常提供必要信息供用户检查，如签名请求，以及批准或拒绝的按钮。

然而，这些用户界面元素可能被攻击者控制，用于模态钓鱼攻击。攻击者可以更改交易细节，将交易请求伪装成"安全更新"等看似合法的操作，诱使用户批准。

攻击案例分析

案例1：通过Wallet Connect进行DApp钓鱼攻击

Wallet Connect是一个广受欢迎的开源协议，用于通过二维码或深度链接连接用户钱包与DApp。在配对过程中，Web3.0钱包会显示一个模态窗口，展示传入配对请求的元信息，包括DApp的名称、网址、图标和描述。

然而，这些信息由DApp提供，钱包并不验证其真实性。攻击者可以假冒合法DApp，诱骗用户连接。在配对过程中，只要受害者想在假冒网站上操作，攻击者就可以替换交易请求参数（如目标地址和金额）来窃取资金。

案例2：通过MetaMask进行智能合约信息钓鱼

在MetaMask的批准模态中，有一个显示交易类型的UI元素。MetaMask会读取智能合约的签名字节，并使用链上方法注册表查询相应的方法名称。然而，这也创造了另一个可被攻击者控制的UI元素。

攻击者可以建立一个钓鱼智能合约，将方法签名注册为"SecurityUpdate"等误导性名称。当MetaMask解析这个合约时，它会在批准模态中向用户呈现这个名称，使交易请求看似来自"MetaMask"的"安全更新"。

防范建议

1. 钱包应用开发者应始终假设外部传入的数据不可信，仔细选择向用户展示的信息，并验证其合法性。

2. 用户应对每个未知的交易请求保持警惕，仔细核实交易详情。

3. Wallet Connect等协议应考虑提前验证DApp信息的有效性和合法性。

4. 钱包应用应采取预防措施，过滤可能被用于钓鱼攻击的误导性词语。

总之，Web3.0钱包用户界面的某些元素可能被攻击者操纵，创造出看似真实的钓鱼陷阱。用户和开发者都应提高警惕，共同维护Web3.0生态系统的安全。