Web3移動錢包面臨新型釣魚攻擊:模態窱口釣魚

近期,一種針對Web3移動錢包的新型釣魚技術引起了安全研究人員的關注。這種被稱爲"模態釣魚"(Modal Phishing)的攻擊手法,利用了移動錢包應用中模態窗口的設計缺陷,可能誤導用戶批準惡意交易。

模態窗口是移動應用常用的界面元素,通常顯示在主界面頂層,用於快速操作如批準交易等。Web3錢包的模態窗口一般會顯示交易細節和批準/拒絕按鈕。然而,研究發現這些界面元素可被攻擊者操控,用於實施釣魚攻擊。

具體來說,攻擊者可以通過以下兩種主要方式進行模態釣魚:

1. 利用Wallet Connect協議漏洞 當使用Wallet Connect協議連接DApp時,攻擊者可以僞造DApp信息,如名稱、圖標等。錢包應用未驗證這些信息的真實性就直接展示給用戶,給了攻擊者可乘之機。

2. 操縱智能合約信息 一些錢包如MetaMask會在模態窗口顯示智能合約的函數名稱。攻擊者可以註冊誤導性的函數名(如"SecurityUpdate"),誘導用戶批準惡意交易。

這類攻擊的根本原因在於,錢包應用未充分驗證所顯示信息的合法性,而是直接信任和展示了外部傳入的數據。爲應對這一威脅,錢包開發者應始終假定外部數據不可信,謹慎選擇向用戶展示的信息並驗證其合法性。同時,用戶也應對未知交易請求保持警惕,仔細核實交易細節後再做決定。

隨着Web3生態的發展,類似的安全挑戰可能會持續出現。錢包應用在提供便捷性的同時,也需要不斷完善安全機制,爲用戶資產安全提供更可靠的保障。