Web3移动钱包新型安全威胁：模态钓鱼攻击

近期，安全研究人员发现了一种针对Web3移动钱包的新型网络钓鱼技术，被称为"模态钓鱼攻击"(Modal Phishing)。这种攻击手法利用了移动钱包应用中常见的模态窗口UI元素，通过显示误导性信息来诱骗用户批准恶意交易。

模态钓鱼攻击的原理

模态钓鱼攻击主要针对加密货币钱包应用中用于交易确认的模态窗口。攻击者可以操纵这些窗口中的某些UI元素，使其显示虚假或误导性的信息，从而欺骗用户批准恶意交易。

这种攻击手法主要利用了两个漏洞：

1. 通过Wallet Connect协议进行DApp钓鱼：攻击者可以控制连接请求中的DApp信息，如名称、图标等，使钓鱼应用伪装成合法DApp。

2. 智能合约信息钓鱼：某些钱包应用会在模态窗口中显示智能合约的函数名称，攻击者可以注册误导性的函数名来欺骗用户。

攻击案例分析

DApp钓鱼

研究人员演示了如何创建一个伪造的DApp，声称自己是Uniswap或Metamask等知名应用。当用户尝试连接钱包时，模态窗口会显示看似合法的应用信息，包括名称、网址和图标。这可能会误导用户相信他们正在与真实的DApp交互。

智能合约信息钓鱼

以某知名移动钱包为例，攻击者可以创建一个钓鱼智能合约，并将其函数名注册为"SecurityUpdate"。当用户收到交易请求时，模态窗口会显示这个误导性的函数名，使交易看起来像是来自钱包应用本身的安全更新。

安全建议

为了防范模态钓鱼攻击，研究人员提出了以下建议：

1. 钱包应用开发者应该始终验证外部传入数据的合法性，不应盲目信任和展示这些信息。

2. Wallet Connect协议应考虑增加DApp信息验证机制。

3. 钱包应用应过滤可能被用于钓鱼的敏感词语。

4. 用户应对每个未知的交易请求保持警惕，仔细核实交易详情。

总之，模态钓鱼攻击揭示了Web3移动钱包在用户界面设计和信息验证方面的潜在安全隐患。随着这类攻击手法的曝光，业界有望采取更严格的安全措施，以提高用户资产的保护水平。