Web3.0移動錢包新型安全風險：模態釣魚攻擊

近期，安全研究人員發現了一種針對Web3.0移動錢包的新型網絡釣魚技術，被命名爲"模態釣魚攻擊"（Modal Phishing）。這種攻擊方式利用移動錢包的模態窗口設計漏洞，通過顯示誤導性信息來誘騙用戶批準惡意交易。

模態釣魚攻擊的原理

模態釣魚攻擊主要針對加密貨幣錢包應用中常用的模態窗口進行操作。這些模態窗口通常用於顯示交易請求信息並獲取用戶批準。攻擊者可以操縱這些窗口中的某些用戶界面元素，使其顯示虛假或誤導性的信息。

具體來說，攻擊者可以控制以下UI元素：

1. DApp信息：包括名稱、圖標、網站地址等
2. 智能合約信息：如函數名稱等

典型攻擊案例

1. 利用Wallet Connect協議進行DApp釣魚

Wallet Connect是一種廣泛使用的協議，用於連接用戶錢包與DApp。研究人員發現，在配對過程中，錢包應用會直接顯示DApp提供的元信息，而不對其進行驗證。攻擊者可以利用這一點，僞造知名DApp的信息來欺騙用戶。

例如，攻擊者可以創建一個假冒的Uniswap DApp，並通過Wallet Connect與用戶的Metamask錢包連接。在配對過程中，錢包會顯示看似合法的Uniswap信息，包括名稱、網址和圖標。一旦用戶批準連接，攻擊者就可以發送惡意交易請求。

2. 通過Metamask進行智能合約信息釣魚

Metamask等錢包在交易批準界面會顯示智能合約的函數名稱。攻擊者可以註冊具有誤導性名稱的智能合約函數，如"SecurityUpdate"，並在交易請求中使用這些函數。當用戶看到seemingly官方的更新請求時，可能會誤認爲這是一個合法操作而批準交易。

防範建議

對於錢包開發者：

1. 始終將外部傳入的數據視爲不可信
2. 仔細選擇向用戶展示的信息，並驗證其合法性
3. 考慮實施額外的驗證機制，如對DApp信息進行驗證

對於用戶：

1. 對每個未知的交易請求保持警惕
2. 仔細檢查交易詳情，不要僅憑UI顯示的信息做決定
3. 如有疑問，請通過官方渠道驗證信息

總之，模態釣魚攻擊揭示了Web3.0錢包在用戶界面設計和信息驗證方面的潛在漏洞。隨着這類攻擊手段的不斷演變，錢包開發者和用戶都需要提高安全意識，共同維護Web3生態系統的安全。