Web3.0移動錢包面臨新型網絡釣魚威脅：模態釣魚攻擊

近期，安全研究人員發現了一種針對Web3.0移動錢包的新型網絡釣魚技術，被稱爲"模態釣魚攻擊"(Modal Phishing)。這種攻擊方式利用移動錢包應用中的模態窗口，通過顯示誤導性信息來誘騙用戶批準惡意交易。

什麼是模態釣魚攻擊?

模態釣魚攻擊主要針對加密貨幣錢包應用中的模態窗口進行操縱。模態窗口是移動應用中常用的UI元素，通常顯示在主界面之上，用於快速操作如批準/拒絕交易請求等。

在正常情況下，模態窗口會顯示交易發起方的身分信息,如網站地址、圖標等。然而，攻擊者可以操縱這些UI元素，僞造合法應用的身分信息，誘導用戶批準惡意交易。

兩種典型的攻擊案例

1. 通過Wallet Connect協議進行DApp釣魚

Wallet Connect是一種廣泛使用的協議，用於連接用戶錢包與去中心化應用(DApp)。研究發現，在配對過程中，錢包應用會顯示DApp提供的元信息(如名稱、網址、圖標等)，但並不驗證這些信息的真實性。

攻擊者可以利用這一漏洞，僞造知名DApp的身分信息。例如，攻擊者可以假冒Uniswap應用，誘騙用戶連接錢包並批準惡意交易。

2. 通過MetaMask進行智能合約信息釣魚

某些錢包應用(如MetaMask)會在交易批準界面顯示智能合約的函數名稱。攻擊者可以註冊具有誤導性名稱的智能合約函數，如"SecurityUpdate"，使交易看起來像是來自錢包官方的安全更新。

結合操縱DApp身分信息，攻擊者可以創建一個非常具有欺騙性的交易請求，使其看似來自"MetaMask"的"安全更新"。

安全建議

爲應對這種新型威脅，專家建議:

1. 錢包應用開發者應該始終假設外部傳入的數據是不可信的，並驗證所有呈現給用戶的信息的合法性。

2. Wallet Connect等協議應考慮增加DApp信息驗證機制。

3. 用戶在批準任何未知交易請求時應保持警惕，仔細核實交易細節。

4. 錢包應用應考慮過濾可能被用於釣魚攻擊的關鍵詞。

總之，隨着Web3技術的發展，用戶和開發者都需要提高安全意識，共同應對不斷演變的網路威脅。