Web3.0移动钱包新型网络钓鱼手法：模态钓鱼攻击

近期发现了一种针对Web3.0移动钱包的新型网络钓鱼技术，可误导用户在连接去中心化应用（DApp）时泄露身份信息。这种被称为"模态钓鱼攻击"(Modal Phishing)的手法正在广泛使用。

攻击者通过向移动钱包发送伪造信息冒充合法DApp，并在钱包的模态窗口中显示误导性内容来诱骗用户批准交易。相关开发人员已确认将推出新的验证API以降低风险。

什么是模态钓鱼攻击？

在对移动钱包的安全研究中，发现Web3.0加密钱包的某些用户界面(UI)元素可被攻击者控制用于钓鱼。之所以称为模态钓鱼，是因为攻击主要针对加密钱包的模态窗口。

模态(或模态窗口)是移动应用中常用的UI元素，通常显示在主窗口顶部，用于快速操作如批准/拒绝交易请求等。Web3.0加密钱包的典型模态设计会提供必要信息供用户检查，以及批准或拒绝的按钮。

然而，这些UI元素可被攻击者操控进行钓鱼。攻击者能更改交易细节，将请求伪装成"安全更新"等诱导性内容。

典型攻击案例

1. 通过Wallet Connect进行DApp钓鱼

Wallet Connect是广受欢迎的开源协议，用于连接用户钱包与DApp。在配对过程中，钱包会显示DApp提供的元信息，如名称、网址、图标等。但钱包并不验证这些信息的真实性。

攻击者可以假冒知名DApp(如Uniswap)连接用户钱包。在配对时，钱包内模态窗口会显示看似合法的DApp信息。一旦连接成功，攻击者就可以替换交易参数窃取资金。

不同钱包的模态设计虽有差异，但攻击者都能控制元信息。作为潜在解决方案，Wallet Connect协议可提前验证DApp信息的有效性。

2. 通过MetaMask进行智能合约信息钓鱼

MetaMask在交易批准模态中会显示智能合约的函数名称。攻击者可以创建钓鱼智能合约，将函数名注册为"SecurityUpdate"等误导性字符串。

当MetaMask解析这类钓鱼合约时，会在批准模态中向用户呈现这些欺骗性的函数名。结合其他可控UI元素，攻击者能创造出非常具有说服力的虚假交易请求。

结语

本文揭示了Web3.0加密钱包模态窗口中某些不应盲目信任的UI组件。这些元素可被攻击者操纵，制造出极具欺骗性的钓鱼陷阱。

问题根源在于钱包应用未充分验证所呈现UI元素的合法性。开发者应始终将外部数据视为不可信，仔细选择向用户展示的信息并验证其合法性。

同时，用户也应对每个未知交易请求保持警惕，谨慎对待所有可疑操作，以确保自身资产安全。