Web3.0移動錢包面臨新型網絡釣魚威脅：模態釣魚攻擊

近期，一種針對Web3.0移動錢包的新型網絡釣魚技術被發現，這種攻擊主要利用移動錢包的模態窗口來誤導用戶。研究人員將這種新型攻擊手法命名爲"模態釣魚攻擊"（Modal Phishing）。

在這種攻擊中，黑客能夠向移動錢包發送僞造信息，冒充合法的去中心化應用（DApp）。通過在錢包的模態窗口中顯示誤導性信息，攻擊者試圖誘騙用戶批準惡意交易。目前，這種網絡釣魚技術已經在多個平台上被廣泛使用。

模態釣魚攻擊的工作原理

模態釣魚攻擊主要針對Web3.0加密貨幣錢包的用戶界面（UI）元素。攻擊者能夠控制這些UI元素，特別是模態窗口，來實施釣魚攻擊。

模態窗口是移動應用程序中常用的UI元素，通常顯示在主窗口頂部，用於快速操作，如批準或拒絕交易請求。Web3.0貨幣錢包的典型模態設計通常包含交易詳情和批準/拒絕按鈕。

然而，這些UI元素可能被攻擊者操縱。例如，攻擊者可以更改交易細節，將交易請求僞裝成來自可信源的安全更新，誘使用戶批準。

主要攻擊方式

1. 通過Wallet Connect協議進行DApp釣魚攻擊： 攻擊者可以控制DApp信息UI元素（如名稱、圖標等），僞造成知名DApp。由於Wallet Connect協議未驗證DApp信息的合法性，這些僞造信息會被錢包應用直接呈現給用戶。

2. 智能合約信息網絡釣魚： 某些錢包應用會讀取智能合約的籤名字節，並使用鏈上方法註冊表查詢相應的方法名稱。攻擊者可以利用這一機制，註冊具有誤導性名稱的方法（如"SecurityUpdate"），使交易請求看起來更加可信。

防範建議

1. 對於錢包開發者：
   • 始終假設外部傳入的數據是不可信的
   • 仔細選擇向用戶展示的信息，並驗證這些信息的合法性
   • 採取預防措施，過濾可能被用於網絡釣魚攻擊的詞語

2. 對於用戶：
   • 對每個未知的交易請求保持警惕
   • 仔細檢查交易詳情，不要輕信模態窗口中顯示的信息
   • 在批準任何交易前，確認交易來源的真實性

隨着Web3.0技術的不斷發展，這類新型攻擊手法可能會越來越多。用戶和開發者都需要提高警惕，共同維護數字資產的安全。