Web3.0移動錢包安全警告：模態窗口釣魚攻擊

近期，安全研究人員發現了一種針對Web3.0移動錢包的新型網絡釣魚技術，被稱爲"模態釣魚攻擊"。這種攻擊手法主要利用移動錢包應用中的模態窗口，通過顯示誤導性信息來誘騙用戶批準惡意交易。

什麼是模態釣魚攻擊？

模態釣魚攻擊主要針對加密貨幣錢包應用中的模態窗口進行。模態窗口是移動應用中常用的UI元素，通常顯示在主界面上方，用於快速操作如批準交易等。

在正常情況下，Web3.0錢包的模態窗口會顯示交易請求的必要信息，以及批準或拒絕的按鈕。然而，攻擊者可以操縱這些UI元素，將惡意交易僞裝成合法請求。

攻擊手法

研究人員發現了兩種主要的攻擊方式：

1. 利用Wallet Connect協議進行DApp釣魚
2. 通過操縱智能合約信息進行釣魚

Wallet Connect協議釣魚

Wallet Connect是一種流行的開源協議，用於連接用戶錢包與DApp。在配對過程中，錢包會顯示DApp的名稱、網址和圖標等信息。然而，這些信息由DApp提供，錢包並不驗證其真實性。

攻擊者可以僞造這些信息，冒充知名DApp如Uniswap，誘騙用戶連接錢包並批準惡意交易。

智能合約信息釣魚

以MetaMask爲例，在交易批準界面會顯示智能合約的方法名稱。攻擊者可以註冊帶有誤導性名稱的智能合約方法，如"SecurityUpdate"，使交易看起來像是來自錢包本身的安全更新請求。

防範建議

1. 錢包開發者應該:
   • 假設所有外部數據都不可信
   • 仔細驗證展示給用戶的信息
   • 過濾可能被用於釣魚的關鍵詞

2. 用戶應該:
   • 對每個未知的交易請求保持警惕
   • 仔細檢查交易詳情，不要輕信模態窗口中顯示的信息
   • 在批準任何交易前，確認DApp的真實性

結語

模態釣魚攻擊揭示了Web3.0錢包在用戶界面設計和數據驗證方面的潛在漏洞。隨着這類攻擊手法的不斷演進，錢包開發者需要加強安全措施，而用戶也應提高警惕，共同維護Web3生態系統的安全。