Web3移动钱包面临新型钓鱼攻击:模态窱口钓鱼

近期,一种针对Web3移动钱包的新型钓鱼技术引起了安全研究人员的关注。这种被称为"模态钓鱼"(Modal Phishing)的攻击手法,利用了移动钱包应用中模态窗口的设计缺陷,可能误导用户批准恶意交易。

模态窗口是移动应用常用的界面元素,通常显示在主界面顶层,用于快速操作如批准交易等。Web3钱包的模态窗口一般会显示交易细节和批准/拒绝按钮。然而,研究发现这些界面元素可被攻击者操控,用于实施钓鱼攻击。

具体来说,攻击者可以通过以下两种主要方式进行模态钓鱼:

1. 利用Wallet Connect协议漏洞 当使用Wallet Connect协议连接DApp时,攻击者可以伪造DApp信息,如名称、图标等。钱包应用未验证这些信息的真实性就直接展示给用户,给了攻击者可乘之机。

2. 操纵智能合约信息 一些钱包如MetaMask会在模态窗口显示智能合约的函数名称。攻击者可以注册误导性的函数名(如"SecurityUpdate"),诱导用户批准恶意交易。

这类攻击的根本原因在于,钱包应用未充分验证所显示信息的合法性,而是直接信任和展示了外部传入的数据。为应对这一威胁,钱包开发者应始终假定外部数据不可信,谨慎选择向用户展示的信息并验证其合法性。同时,用户也应对未知交易请求保持警惕,仔细核实交易细节后再做决定。

随着Web3生态的发展,类似的安全挑战可能会持续出现。钱包应用在提供便捷性的同时,也需要不断完善安全机制,为用户资产安全提供更可靠的保障。