Web3移动钱包新型攻击手法：模态钓鱼

近期，一种针对Web3移动钱包的新型网络钓鱼技术被发现，该技术可能误导用户对连接的去中心化应用(DApp)身份产生误解。这种新型攻击手法被称为"模态钓鱼攻击"(Modal Phishing)。

攻击者利用这种技术向移动钱包发送虚假信息，冒充合法DApp，并通过在钱包的模态窗口中显示误导性内容来诱使用户批准交易。目前，这种钓鱼技术已被广泛使用。相关组件开发人员已确认将发布新的验证API以降低风险。

模态钓鱼攻击原理

模态钓鱼攻击主要针对加密钱包的模态窗口进行。模态窗口是移动应用中常用的UI元素，通常显示在主窗口顶部，用于快速操作如批准/拒绝交易请求。

Web3钱包的典型模态设计通常提供交易信息和批准/拒绝按钮。然而，这些UI元素可能被攻击者控制用于钓鱼攻击。攻击者可以操纵多个UI元素，包括：

1. 如使用Wallet Connect协议，DApp信息UI元素(名称、图标等)可被控制
2. 某些钱包应用中的智能合约信息UI元素可被控制

典型攻击案例

1. 通过Wallet Connect进行DApp钓鱼

Wallet Connect是广受欢迎的开源协议，用于通过二维码或深度链接连接用户钱包与DApp。在配对过程中，Web3钱包会显示一个模态窗口，展示传入配对请求的元信息，包括DApp名称、网址、图标和描述。

然而，这些信息由DApp提供，钱包并不验证其真实性。攻击者可以假冒知名DApp，诱骗用户连接并批准交易。

2. 通过MetaMask进行智能合约信息钓鱼

MetaMask批准模态中显示的交易类型信息(如"Confirm"或"Unknown Method")可被攻击者控制。MetaMask会读取智能合约的签名字节，并使用链上方法注册表查询相应的方法名称。

攻击者可以创建钓鱼智能合约，将方法签名注册为诱导性字符串(如"SecurityUpdate")。当MetaMask解析这个钓鱼智能合约时，会在批准模态中向用户呈现这个误导性名称。

防范建议

1. 钱包应用开发者应始终假设外部传入的数据不可信，仔细选择向用户展示的信息，并验证其合法性。

2. Wallet Connect协议可考虑提前验证DApp信息的有效性和合法性。

3. 用户应对每个未知的交易请求保持警惕，仔细核实交易详情。

4. 钱包应用应监测并过滤可能被用于钓鱼攻击的词语。

总之，Web3钱包模态窗口中的某些UI元素可被攻击者操纵，创造出极具说服力的钓鱼陷阱。这种攻击的根本原因是钱包应用未充分验证所呈现UI元素的合法性。用户和开发者都应提高警惕，共同维护Web3生态安全。