Web3移動錢包新型騙局揭祕：模態釣魚攻擊

近期，一種針對Web3移動錢包的新型網絡釣魚技術引起了安全研究人員的注意。這種被命名爲"Modal Phishing（模態釣魚攻擊）"的技術，主要通過操縱移動錢包的模態窗口來誤導用戶。

攻擊者可以向移動錢包發送僞造信息，冒充合法的去中心化應用（DApp），並在錢包的模態窗口中顯示誤導性內容，誘使用戶批準交易。這種釣魚技術目前已被廣泛使用。相關組件開發人員已確認將發布新的驗證API以降低風險。

模態釣魚攻擊的原理

模態釣魚攻擊主要針對加密錢包的模態窗口進行。模態窗口是移動應用中常用的UI元素，通常顯示在主窗口頂部，用於快速操作，如批準或拒絕交易請求。

典型的Web3錢包模態設計會提供交易信息和批準/拒絕按鈕。然而，這些UI元素可能被攻擊者控制，用於釣魚攻擊。

攻擊案例

1. 通過Wallet Connect進行DApp釣魚

Wallet Connect是一個廣受歡迎的開源協議，用於連接用戶錢包與DApp。在配對過程中，錢包會顯示DApp提供的元信息，包括名稱、網址和圖標。然而，這些信息未經驗證，攻擊者可以僞造合法DApp的信息。

例如，攻擊者可以假冒知名DApp，誘導用戶連接錢包並批準交易。在配對過程中，錢包顯示的模態窗口會呈現看似合法的DApp信息，增加了攻擊的可信度。

2. 通過智能合約信息進行釣魚

某些錢包應用在交易批準模態中會顯示智能合約的方法名稱。攻擊者可以通過註冊特定的方法名稱，如"SecurityUpdate"，來誤導用戶。

例如，攻擊者可以創建一個釣魚智能合約，其中包含一個名爲"SecurityUpdate"的函數。當用戶查看交易請求時，會看到一個貌似來自錢包官方的"安全更新"請求，從而增加用戶批準惡意交易的可能性。

防範建議

1. 錢包開發者應始終驗證外部傳入數據的合法性，不應盲目信任任何未經驗證的信息。

2. 開發者應仔細選擇向用戶展示的信息，並對可能被用於釣魚攻擊的內容進行過濾。

3. 用戶應對每個未知的交易請求保持警惕，仔細檢查交易詳情，不輕易批準來歷不明的請求。

4. 相關協議和平台應考慮引入更嚴格的驗證機制，以確保顯示給用戶的信息真實可靠。

隨着Web3技術的不斷發展，安全意識的提升對於用戶和開發者來說都至關重要。只有保持警惕，並不斷完善安全措施，才能有效防範這類新型網絡釣魚攻擊。