Web3.0移動錢包新型網絡釣魚手法：模態釣魚攻擊

近期發現了一種針對Web3.0移動錢包的新型網絡釣魚技術，可誤導用戶在連接去中心化應用（DApp）時泄露身分信息。這種被稱爲"模態釣魚攻擊"(Modal Phishing)的手法正在廣泛使用。

攻擊者通過向移動錢包發送僞造信息冒充合法DApp，並在錢包的模態窗口中顯示誤導性內容來誘騙用戶批準交易。相關開發人員已確認將推出新的驗證API以降低風險。

什麼是模態釣魚攻擊？

在對移動錢包的安全研究中，發現Web3.0加密錢包的某些用戶界面(UI)元素可被攻擊者控制用於釣魚。之所以稱爲模態釣魚，是因爲攻擊主要針對加密錢包的模態窗口。

模態(或模態窗口)是移動應用中常用的UI元素，通常顯示在主窗口頂部，用於快速操作如批準/拒絕交易請求等。Web3.0加密錢包的典型模態設計會提供必要信息供用戶檢查，以及批準或拒絕的按鈕。

然而，這些UI元素可被攻擊者操控進行釣魚。攻擊者能更改交易細節，將請求僞裝成"安全更新"等誘導性內容。

典型攻擊案例

1. 通過Wallet Connect進行DApp釣魚

Wallet Connect是廣受歡迎的開源協議，用於連接用戶錢包與DApp。在配對過程中，錢包會顯示DApp提供的元信息，如名稱、網址、圖標等。但錢包並不驗證這些信息的真實性。

攻擊者可以假冒知名DApp(如Uniswap)連接用戶錢包。在配對時，錢包內模態窗口會顯示看似合法的DApp信息。一旦連接成功，攻擊者就可以替換交易參數竊取資金。

不同錢包的模態設計雖有差異，但攻擊者都能控制元信息。作爲潛在解決方案，Wallet Connect協議可提前驗證DApp信息的有效性。

2. 通過MetaMask進行智能合約信息釣魚

MetaMask在交易批準模態中會顯示智能合約的函數名稱。攻擊者可以創建釣魚智能合約，將函數名註冊爲"SecurityUpdate"等誤導性字符串。

當MetaMask解析這類釣魚合約時，會在批準模態中向用戶呈現這些欺騙性的函數名。結合其他可控UI元素，攻擊者能創造出非常具有說服力的虛假交易請求。

結語

本文揭示了Web3.0加密錢包模態窗口中某些不應盲目信任的UI組件。這些元素可被攻擊者操縱，制造出極具欺騙性的釣魚陷阱。

問題根源在於錢包應用未充分驗證所呈現UI元素的合法性。開發者應始終將外部數據視爲不可信，仔細選擇向用戶展示的信息並驗證其合法性。

同時，用戶也應對每個未知交易請求保持警惕，謹慎對待所有可疑操作，以確保自身資產安全。