Web3移動錢包新型騙局揭祕：模態釣魚攻擊

近期，我們發現了一種針對Web3移動錢包用戶的新型網絡釣魚技術，主要通過誤導用戶對連接的去中心化應用(DApp)身分的認知來實施攻擊。我們將這種新型釣魚技術命名爲"模態釣魚攻擊"(Modal Phishing)。

在這種攻擊中，不法分子可以向移動錢包發送僞造的虛假信息，冒充合法DApp。通過在錢包的模態窗口中顯示誤導性信息，誘騙用戶批準危險交易。目前，這種釣魚技術已經被廣泛使用。我們已與相關組件開發人員溝通，他們承諾將推出新的驗證API以降低風險。

模態釣魚攻擊的原理

在對移動錢包的安全研究中，我們注意到Web3錢包的某些用戶界面(UI)元素可被攻擊者控制，從而實施釣魚攻擊。之所以稱爲"模態釣魚"，是因爲攻擊者主要針對加密錢包的模態窗口進行操作。

模態窗口是移動應用中常用的UI元素，通常顯示在主窗口頂部，用於方便用戶快速操作，如批準/拒絕Web3錢包的交易請求。典型的Web3錢包模態設計會提供必要的交易信息供用戶檢查，以及批準或拒絕的按鈕。

然而，這些用戶界面元素可能被攻擊者控制，用於實施模態釣魚攻擊。攻擊者可以更改交易細節，將交易請求僞裝成來自可信來源的"安全更新"等，誘使用戶批準。

典型攻擊案例

1. 通過Wallet Connect進行DApp釣魚攻擊

Wallet Connect是一個廣受歡迎的開源協議，用於通過二維碼或深度連結將用戶錢包與DApp連接。在配對過程中，Web3錢包會顯示一個模態窗口，展示DApp的名稱、網站地址、圖標和描述等信息。

然而，這些信息是由DApp提供的，錢包並不驗證其真實性。攻擊者可以假冒知名DApp，誘騙用戶與其連接。在配對過程中，只要受害者想在假冒網站上進行操作，攻擊者就可以替換交易請求參數來竊取資金。

2. 通過MetaMask進行智能合約信息釣魚

在MetaMask的交易批準模態窗口中，除了DApp信息外，還會顯示一個表示交易類型的字符串。這個UI元素是通過讀取智能合約的籤名字節，並查詢鏈上方法註冊表得到的。

攻擊者可以利用這一機制，創建一個釣魚智能合約，並將其方法名註冊爲"SecurityUpdate"等誤導性字符串。當用戶批準交易時，MetaMask會顯示這個看似合法的方法名，增加了攻擊的可信度。

防範建議

1. 錢包應用開發者應該始終假設外部傳入的數據是不可信的，仔細選擇向用戶展示哪些信息，並驗證這些信息的合法性。

2. Wallet Connect等協議應該提前驗證DApp信息的有效性和合法性。

3. 錢包應用應採取預防措施，過濾可能被用於網絡釣魚攻擊的詞語。

4. 用戶應對每個未知的交易請求保持警惕，仔細核實交易詳情，不要輕信模態窗口中顯示的信息。

總之，模態釣魚攻擊利用了用戶對錢包UI的信任，通過操縱可控UI元素來創造具有說服力的釣魚陷阱。提高安全意識，加強驗證機制，是防範此類攻擊的關鍵。