Web3.0移動錢包新型騙局揭祕：模態釣魚攻擊

近期，我們發現了一種新型的網絡釣魚技術，可用於誤導受害者在連接去中心化應用（DApp）身分方面。我們將這種新型網絡釣魚技術命名爲"模態釣魚攻擊"（Modal Phishing）。

攻擊者通過向移動錢包發送僞造的虛假信息來冒充合法DApp，並在移動錢包的模態窗口中顯示誤導性信息，誘騙受害者批準交易。這種網絡釣魚技術正在廣泛使用。相關組件開發人員已確認將發布新的驗證API以降低該風險。

什麼是模態釣魚攻擊？

在對移動錢包的安全研究中，我們注意到Web3.0加密貨幣錢包的某些用戶界面（UI）元素可被攻擊者控制用來進行網絡釣魚攻擊。我們將這種釣魚技術命名爲模態釣魚，因爲攻擊者主要針對加密錢包的模態窗口進行釣魚攻擊。

模態（或模態窗口）是移動應用程序中常用的UI元素，通常顯示在應用程序主窗口頂部。這種設計通常用於方便用戶執行快速操作，如批準/拒絕Web3.0加密貨幣錢包的交易請求。

典型的Web3.0加密貨幣錢包模態設計通常提供必要信息供用戶檢查籤名等請求，以及批準或拒絕請求的按鈕。

當新的交易請求被連接的DApp初始化時，錢包會展示一個新的模態窗口，要求用戶進行人工確認。模態窗口通常包含請求者的身分，如網站地址、圖標等。一些錢包如Metamask也會顯示有關請求的關鍵信息。

然而，這些用戶界面元素可被攻擊者控制以進行模態釣魚攻擊。攻擊者可以更改交易細節，將交易請求僞裝成來自"Metamask"的"Security Update"請求，誘使用戶批準。

典型案例

案例1：通過Wallet Connect進行DApp釣魚攻擊

Wallet Connect協議是一個廣受歡迎的開源協議，用於通過二維碼或深度連結將用戶的錢包與DApp連接。在Web3.0加密貨幣錢包和DApp之間的配對過程中，錢包會展示一個模態窗口，顯示傳入配對請求的元信息，包括DApp的名稱、網站地址、圖標和描述。

然而，這些信息是由DApp提供的，錢包並不驗證其所提供信息是否合法真實。在網絡釣魚攻擊中，攻擊者可以假冒合法DApp，誘騙用戶與其連接。

攻擊者可以聲稱自己是Uniswap DApp，並連接Metamask錢包，以此欺騙用戶批準傳入的交易。在配對過程中，錢包內顯示的模態窗口呈現了看似合法的Uniswap DApp信息。攻擊者可以替換交易請求參數（如目的地地址和交易金額）來竊取受害者的資金。

案例2：通過MetaMask進行智能合約信息網絡釣魚

在Metamask批準模態中，有一個顯示交易類型的UI元素。Metamask會讀取智能合約的籤名字節，並使用鏈上方法註冊表查詢相應的方法名稱。然而，這也會在模態上創建另一個可被攻擊者控制的UI元素。

攻擊者可以建立一個釣魚智能合約，其中包含一個名爲"SecurityUpdate"的具備支付功能的函數，並允許受害者將資金轉入該智能合約。攻擊者還可以使用SignatureReg將方法籤名註冊爲人類可讀的字符串"SecurityUpdate"。

結合這些可控的UI元素，攻擊者可以創建一個看似來自"Metamask"的"SecurityUpdate"請求，尋求用戶的批準。

防範建議

1. 錢包應用程序開發者應該始終假設外部傳入的數據是不可信的。
2. 開發者應該仔細選擇向用戶展示哪些信息，並驗證這些信息的合法性。
3. 用戶應對每個未知的交易請求保持警惕，謹慎對待所有交易請求。
4. Wallet Connect協議可以考慮提前驗證DApp信息的有效性和合法性。
5. 錢包應用應監測呈現給用戶的內容，並採取預防措施過濾掉可能被用於網絡釣魚攻擊的詞語。

總之，模態釣魚攻擊的根本原因是錢包應用程序沒有徹底驗證所呈現的UI元素的合法性。用戶和開發者都應提高警惕，共同維護Web3.0生態系統的安全。