Web3.0移动钱包面临新型网络钓鱼威胁：模态钓鱼攻击

近期，一种针对Web3.0移动钱包的新型网络钓鱼技术被发现，这种攻击主要利用移动钱包的模态窗口来误导用户。研究人员将这种新型攻击手法命名为"模态钓鱼攻击"（Modal Phishing）。

在这种攻击中，黑客能够向移动钱包发送伪造信息，冒充合法的去中心化应用（DApp）。通过在钱包的模态窗口中显示误导性信息，攻击者试图诱骗用户批准恶意交易。目前，这种网络钓鱼技术已经在多个平台上被广泛使用。

模态钓鱼攻击的工作原理

模态钓鱼攻击主要针对Web3.0加密货币钱包的用户界面（UI）元素。攻击者能够控制这些UI元素，特别是模态窗口，来实施钓鱼攻击。

模态窗口是移动应用程序中常用的UI元素，通常显示在主窗口顶部，用于快速操作，如批准或拒绝交易请求。Web3.0货币钱包的典型模态设计通常包含交易详情和批准/拒绝按钮。

然而，这些UI元素可能被攻击者操纵。例如，攻击者可以更改交易细节，将交易请求伪装成来自可信源的安全更新，诱使用户批准。

主要攻击方式

1. 通过Wallet Connect协议进行DApp钓鱼攻击： 攻击者可以控制DApp信息UI元素（如名称、图标等），伪造成知名DApp。由于Wallet Connect协议未验证DApp信息的合法性，这些伪造信息会被钱包应用直接呈现给用户。

2. 智能合约信息网络钓鱼： 某些钱包应用会读取智能合约的签名字节，并使用链上方法注册表查询相应的方法名称。攻击者可以利用这一机制，注册具有误导性名称的方法（如"SecurityUpdate"），使交易请求看起来更加可信。

防范建议

1. 对于钱包开发者：
   • 始终假设外部传入的数据是不可信的
   • 仔细选择向用户展示的信息，并验证这些信息的合法性
   • 采取预防措施，过滤可能被用于网络钓鱼攻击的词语

2. 对于用户：
   • 对每个未知的交易请求保持警惕
   • 仔细检查交易详情，不要轻信模态窗口中显示的信息
   • 在批准任何交易前，确认交易来源的真实性

随着Web3.0技术的不断发展，这类新型攻击手法可能会越来越多。用户和开发者都需要提高警惕，共同维护数字资产的安全。