Web3.0移动钱包新型安全风险：模态钓鱼攻击

近期，安全研究人员发现了一种针对Web3.0移动钱包的新型网络钓鱼技术，被命名为"模态钓鱼攻击"（Modal Phishing）。这种攻击方式利用移动钱包的模态窗口设计漏洞，通过显示误导性信息来诱骗用户批准恶意交易。

模态钓鱼攻击的原理

模态钓鱼攻击主要针对加密货币钱包应用中常用的模态窗口进行操作。这些模态窗口通常用于显示交易请求信息并获取用户批准。攻击者可以操纵这些窗口中的某些用户界面元素，使其显示虚假或误导性的信息。

具体来说，攻击者可以控制以下UI元素：

1. DApp信息：包括名称、图标、网站地址等
2. 智能合约信息：如函数名称等

典型攻击案例

1. 利用Wallet Connect协议进行DApp钓鱼

Wallet Connect是一种广泛使用的协议，用于连接用户钱包与DApp。研究人员发现，在配对过程中，钱包应用会直接显示DApp提供的元信息，而不对其进行验证。攻击者可以利用这一点，伪造知名DApp的信息来欺骗用户。

例如，攻击者可以创建一个假冒的Uniswap DApp，并通过Wallet Connect与用户的Metamask钱包连接。在配对过程中，钱包会显示看似合法的Uniswap信息，包括名称、网址和图标。一旦用户批准连接，攻击者就可以发送恶意交易请求。

2. 通过Metamask进行智能合约信息钓鱼

Metamask等钱包在交易批准界面会显示智能合约的函数名称。攻击者可以注册具有误导性名称的智能合约函数，如"SecurityUpdate"，并在交易请求中使用这些函数。当用户看到seemingly官方的更新请求时，可能会误认为这是一个合法操作而批准交易。

防范建议

对于钱包开发者：

1. 始终将外部传入的数据视为不可信
2. 仔细选择向用户展示的信息，并验证其合法性
3. 考虑实施额外的验证机制，如对DApp信息进行验证

对于用户：

1. 对每个未知的交易请求保持警惕
2. 仔细检查交易详情，不要仅凭UI显示的信息做决定
3. 如有疑问，请通过官方渠道验证信息

总之，模态钓鱼攻击揭示了Web3.0钱包在用户界面设计和信息验证方面的潜在漏洞。随着这类攻击手段的不断演变，钱包开发者和用户都需要提高安全意识，共同维护Web3生态系统的安全。