Web3.0移动钱包新型网络钓鱼技术：模态钓鱼攻击

近期，一种新型网络钓鱼技术被发现，它可能会误导用户在连接去中心化应用(DApp)时的身份认证。我们将这种新型网络钓鱼技术命名为"模态钓鱼攻击"(Modal Phishing)。

攻击者通过向移动钱包发送伪造信息，冒充合法DApp，并在钱包的模态窗口中显示误导性内容，诱使用户批准交易。这种技术正在广泛使用。相关开发人员已确认将推出新的验证API以降低风险。

什么是模态钓鱼攻击？

在对移动钱包的安全研究中，我们注意到Web3.0加密钱包的某些用户界面(UI)元素可被攻击者操控来进行网络钓鱼。之所以称为模态钓鱼，是因为攻击主要针对加密钱包的模态窗口。

模态(或模态窗口)是移动应用中常用的UI元素，通常显示在主窗口顶部，用于快速操作，如批准/拒绝Web3.0钱包的交易请求。典型的Web3.0钱包模态设计通常提供交易详情和批准/拒绝按钮。

然而，这些UI元素可能被攻击者控制进行模态钓鱼攻击。攻击者可以更改交易细节，将请求伪装成来自可信来源的安全更新，诱使用户批准。

典型案例

案例1：通过Wallet Connect进行DApp钓鱼攻击

Wallet Connect是一个流行的开源协议，用于通过二维码或深度链接将用户钱包与DApp连接。在配对过程中，钱包会显示一个模态窗口，展示DApp的名称、网址、图标等信息。

然而，这些信息由DApp提供，钱包并不验证其真实性。攻击者可以假冒知名DApp，诱骗用户连接并批准交易。

不同钱包的模态设计可能不同，但攻击者始终可以控制元信息。攻击者可以创建虚假DApp，在交易批准模态中冒充知名应用。

案例2：通过MetaMask进行智能合约信息钓鱼

MetaMask的交易批准模态中，除了DApp信息，还会显示交易类型，如"Confirm"或"Unknown Method"。这个UI元素是通过读取智能合约的签名字节并查询链上方法注册表获得的。

攻击者可以利用这一机制，创建带有误导性方法名的钓鱼智能合约。例如，将方法名注册为"SecurityUpdate"，使交易请求看起来像是来自MetaMask的安全更新。

防范建议

1. 钱包开发者应始终假设外部数据不可信，仔细选择向用户展示的信息，并验证其合法性。

2. Wallet Connect协议可以考虑提前验证DApp信息的有效性和合法性。

3. 钱包应用应监测并过滤可能被用于钓鱼攻击的词语。

4. 用户应对每个未知的交易请求保持警惕，仔细核实交易详情。

模态钓鱼攻击揭示了Web3.0钱包UI设计中的潜在安全隐患。开发者和用户都应提高警惕，共同维护Web3生态系统的安全。