Web3.0移動錢包新型安全威脅：模態釣魚攻擊

近期，安全研究人員發現了一種針對Web3.0移動錢包的新型網絡釣魚技術，被稱爲"模態釣魚攻擊"(Modal Phishing)。這種攻擊手法主要利用移動錢包中的模態窗口來誤導用戶，誘使其批準惡意交易。

模態釣魚攻擊的原理

模態釣魚攻擊主要針對加密錢包應用中常用的模態窗口UI元素。攻擊者可以操縱這些窗口中的某些信息，使其看起來像是來自合法的去中心化應用(DApp)，從而欺騙用戶批準惡意交易。

這種攻擊手法之所以有效，是因爲許多錢包應用未能充分驗證顯示給用戶的信息的真實性。例如：

1. 利用Wallet Connect協議的漏洞：攻擊者可以控制DApp的名稱、圖標等信息，僞裝成知名應用。

2. 操縱智能合約信息：某些錢包會顯示智能合約的函數名稱，攻擊者可以註冊誤導性的函數名來混淆用戶。

典型攻擊場景

1. Wallet Connect協議釣魚

Wallet Connect是一種廣泛使用的協議，用於連接用戶錢包和DApp。但該協議目前並不驗證DApp提供的信息真實性。攻擊者可以利用這一點，冒充知名DApp(如Uniswap)來誘導用戶批準惡意交易。

2. 智能合約信息釣魚

以MetaMask爲例，其交易批準界面會顯示智能合約的函數名稱。攻擊者可以註冊帶有誤導性名稱(如"SecurityUpdate")的函數，使交易看起來像是安全更新，誘使用戶批準。

防範建議

1. 錢包開發者：
   • 應始終假設外部數據不可信
   • 仔細驗證並篩選顯示給用戶的信息
   • 採取措施過濾可能被用於釣魚的關鍵詞

2. 用戶：
   • 對每個未知的交易請求保持警惕
   • 仔細核實交易詳情，不要輕信界面上顯示的信息
   • 使用硬體錢包等額外的安全措施

3. 協議開發者：
   • Wallet Connect等協議應考慮增加對DApp信息的驗證機制

模態釣魚攻擊凸顯了Web3.0生態系統中用戶界面安全的重要性。隨着這類攻擊手法的演進，整個行業需要不斷提高警惕，完善安全機制，以保護用戶資產安全。