Web3移動錢包新型攻擊手法：模態釣魚

近期，一種針對Web3移動錢包的新型網絡釣魚技術被發現，該技術可能誤導用戶對連接的去中心化應用(DApp)身分產生誤解。這種新型攻擊手法被稱爲"模態釣魚攻擊"(Modal Phishing)。

攻擊者利用這種技術向移動錢包發送虛假信息，冒充合法DApp，並通過在錢包的模態窗口中顯示誤導性內容來誘使用戶批準交易。目前，這種釣魚技術已被廣泛使用。相關組件開發人員已確認將發布新的驗證API以降低風險。

模態釣魚攻擊原理

模態釣魚攻擊主要針對加密錢包的模態窗口進行。模態窗口是移動應用中常用的UI元素，通常顯示在主窗口頂部，用於快速操作如批準/拒絕交易請求。

Web3錢包的典型模態設計通常提供交易信息和批準/拒絕按鈕。然而，這些UI元素可能被攻擊者控制用於釣魚攻擊。攻擊者可以操縱多個UI元素，包括：

1. 如使用Wallet Connect協議，DApp信息UI元素(名稱、圖標等)可被控制
2. 某些錢包應用中的智能合約信息UI元素可被控制

典型攻擊案例

1. 通過Wallet Connect進行DApp釣魚

Wallet Connect是廣受歡迎的開源協議，用於通過二維碼或深度連結連接用戶錢包與DApp。在配對過程中，Web3錢包會顯示一個模態窗口，展示傳入配對請求的元信息，包括DApp名稱、網址、圖標和描述。

然而，這些信息由DApp提供，錢包並不驗證其真實性。攻擊者可以假冒知名DApp，誘騙用戶連接並批準交易。

2. 通過MetaMask進行智能合約信息釣魚

MetaMask批準模態中顯示的交易類型信息(如"Confirm"或"Unknown Method")可被攻擊者控制。MetaMask會讀取智能合約的籤名字節，並使用鏈上方法註冊表查詢相應的方法名稱。

攻擊者可以創建釣魚智能合約，將方法籤名註冊爲誘導性字符串(如"SecurityUpdate")。當MetaMask解析這個釣魚智能合約時，會在批準模態中向用戶呈現這個誤導性名稱。

防範建議

1. 錢包應用開發者應始終假設外部傳入的數據不可信，仔細選擇向用戶展示的信息，並驗證其合法性。

2. Wallet Connect協議可考慮提前驗證DApp信息的有效性和合法性。

3. 用戶應對每個未知的交易請求保持警惕，仔細核實交易詳情。

4. 錢包應用應監測並過濾可能被用於釣魚攻擊的詞語。

總之，Web3錢包模態窗口中的某些UI元素可被攻擊者操縱，創造出極具說服力的釣魚陷阱。這種攻擊的根本原因是錢包應用未充分驗證所呈現UI元素的合法性。用戶和開發者都應提高警惕，共同維護Web3生態安全。