Web3移動錢包面臨新型網絡釣魚威脅：模態釣魚攻擊

近期，一種新型的網絡釣魚技術被發現，可能會誤導用戶在連接去中心化應用(DApp)時做出錯誤判斷。這種新型攻擊被命名爲"模態釣魚攻擊"(Modal Phishing)。

攻擊者通過向移動錢包發送僞造信息，冒充合法DApp，並在錢包的模態窗口中顯示誤導性內容，誘騙用戶批準交易。這種手法目前已被廣泛使用。相關組件開發人員表示將推出新的驗證API來降低風險。

模態釣魚攻擊的原理

在對移動錢包進行安全研究時，研究人員發現Web3錢包的某些用戶界面元素可被攻擊者控制，從而實施網絡釣魚。之所以稱爲"模態釣魚"，是因爲攻擊主要針對加密錢包的模態窗口。

模態窗口是移動應用中常見的UI元素，通常顯示在主窗口頂部，用於快速操作，如批準/拒絕交易請求。典型的Web3錢包模態設計會提供必要信息供用戶檢查，以及批準或拒絕的按鈕。

然而，這些UI元素可能被攻擊者操控。例如，攻擊者可以更改交易細節，將請求僞裝成來自"Metamask"的"安全更新"，誘使用戶批準。

兩種典型攻擊案例

1. 通過Wallet Connect進行DApp釣魚攻擊

Wallet Connect協議是一種流行的開源協議，用於通過二維碼或深度連結連接用戶錢包與DApp。在配對過程中，Web3錢包會顯示一個模態窗口，展示傳入請求的元信息，包括DApp名稱、網址、圖標和描述。

問題在於，這些信息由DApp提供，錢包並不驗證其真實性。攻擊者可以假冒合法DApp，誘騙用戶連接並批準交易。

2. 通過MetaMask進行智能合約信息釣魚

MetaMask在批準模態中會顯示交易類型，如"Confirm"或"Unknown Method"。這個UI元素是通過讀取智能合約的籤名字節並查詢鏈上方法註冊表獲得的。

攻擊者可以創建釣魚智能合約，將方法籤名註冊爲誤導性字符串，如"SecurityUpdate"。當MetaMask解析這個合約時，會在批準模態中向用戶展示這個誤導性名稱。

防範建議

1. 錢包開發者應始終假設外部數據不可信，仔細選擇向用戶展示的信息，並驗證其合法性。

2. Wallet Connect協議可考慮提前驗證DApp信息的有效性和合法性。

3. 錢包應用應監測呈現給用戶的內容，過濾可能用於釣魚攻擊的詞語。

4. 用戶應對每個未知的交易請求保持警惕，仔細驗證交易細節。

總之，Modal Phishing攻擊的根本原因是錢包應用未能徹底驗證所呈現UI元素的合法性。開發者和用戶都需要提高警惕，共同維護Web3生態的安全。