Web3.0移动钱包面临新型网络钓鱼威胁：模态钓鱼攻击

近期，安全研究人员发现了一种针对Web3.0移动钱包的新型网络钓鱼技术，被称为"模态钓鱼攻击"(Modal Phishing)。这种攻击方式利用移动钱包应用中的模态窗口，通过显示误导性信息来诱骗用户批准恶意交易。

什么是模态钓鱼攻击?

模态钓鱼攻击主要针对加密货币钱包应用中的模态窗口进行操纵。模态窗口是移动应用中常用的UI元素，通常显示在主界面之上，用于快速操作如批准/拒绝交易请求等。

在正常情况下，模态窗口会显示交易发起方的身份信息,如网站地址、图标等。然而，攻击者可以操纵这些UI元素，伪造合法应用的身份信息，诱导用户批准恶意交易。

两种典型的攻击案例

1. 通过Wallet Connect协议进行DApp钓鱼

Wallet Connect是一种广泛使用的协议，用于连接用户钱包与去中心化应用(DApp)。研究发现，在配对过程中，钱包应用会显示DApp提供的元信息(如名称、网址、图标等)，但并不验证这些信息的真实性。

攻击者可以利用这一漏洞，伪造知名DApp的身份信息。例如，攻击者可以假冒Uniswap应用，诱骗用户连接钱包并批准恶意交易。

2. 通过MetaMask进行智能合约信息钓鱼

某些钱包应用(如MetaMask)会在交易批准界面显示智能合约的函数名称。攻击者可以注册具有误导性名称的智能合约函数，如"SecurityUpdate"，使交易看起来像是来自钱包官方的安全更新。

结合操纵DApp身份信息，攻击者可以创建一个非常具有欺骗性的交易请求，使其看似来自"MetaMask"的"安全更新"。

安全建议

为应对这种新型威胁，专家建议:

1. 钱包应用开发者应该始终假设外部传入的数据是不可信的，并验证所有呈现给用户的信息的合法性。

2. Wallet Connect等协议应考虑增加DApp信息验证机制。

3. 用户在批准任何未知交易请求时应保持警惕，仔细核实交易细节。

4. 钱包应用应考虑过滤可能被用于钓鱼攻击的关键词。

总之，随着Web3技术的发展，用户和开发者都需要提高安全意识，共同应对不断演变的网络威胁。