Web3移动钱包面临新型网络钓鱼威胁：模态钓鱼攻击

近期，一种新型的网络钓鱼技术被发现，可能会误导用户在连接去中心化应用(DApp)时做出错误判断。这种新型攻击被命名为"模态钓鱼攻击"(Modal Phishing)。

攻击者通过向移动钱包发送伪造信息，冒充合法DApp，并在钱包的模态窗口中显示误导性内容，诱骗用户批准交易。这种手法目前已被广泛使用。相关组件开发人员表示将推出新的验证API来降低风险。

模态钓鱼攻击的原理

在对移动钱包进行安全研究时，研究人员发现Web3钱包的某些用户界面元素可被攻击者控制，从而实施网络钓鱼。之所以称为"模态钓鱼"，是因为攻击主要针对加密钱包的模态窗口。

模态窗口是移动应用中常见的UI元素，通常显示在主窗口顶部，用于快速操作，如批准/拒绝交易请求。典型的Web3钱包模态设计会提供必要信息供用户检查，以及批准或拒绝的按钮。

然而，这些UI元素可能被攻击者操控。例如，攻击者可以更改交易细节，将请求伪装成来自"Metamask"的"安全更新"，诱使用户批准。

两种典型攻击案例

1. 通过Wallet Connect进行DApp钓鱼攻击

Wallet Connect协议是一种流行的开源协议，用于通过二维码或深度链接连接用户钱包与DApp。在配对过程中，Web3钱包会显示一个模态窗口，展示传入请求的元信息，包括DApp名称、网址、图标和描述。

问题在于，这些信息由DApp提供，钱包并不验证其真实性。攻击者可以假冒合法DApp，诱骗用户连接并批准交易。

2. 通过MetaMask进行智能合约信息钓鱼

MetaMask在批准模态中会显示交易类型，如"Confirm"或"Unknown Method"。这个UI元素是通过读取智能合约的签名字节并查询链上方法注册表获得的。

攻击者可以创建钓鱼智能合约，将方法签名注册为误导性字符串，如"SecurityUpdate"。当MetaMask解析这个合约时，会在批准模态中向用户展示这个误导性名称。

防范建议

1. 钱包开发者应始终假设外部数据不可信，仔细选择向用户展示的信息，并验证其合法性。

2. Wallet Connect协议可考虑提前验证DApp信息的有效性和合法性。

3. 钱包应用应监测呈现给用户的内容，过滤可能用于钓鱼攻击的词语。

4. 用户应对每个未知的交易请求保持警惕，仔细验证交易细节。

总之，Modal Phishing攻击的根本原因是钱包应用未能彻底验证所呈现UI元素的合法性。开发者和用户都需要提高警惕，共同维护Web3生态的安全。