Web3移动钱包新型骗局揭秘：模态钓鱼攻击

近期，一种针对Web3移动钱包的新型网络钓鱼技术引起了安全研究人员的注意。这种被命名为"Modal Phishing（模态钓鱼攻击）"的技术，主要通过操纵移动钱包的模态窗口来误导用户。

攻击者可以向移动钱包发送伪造信息，冒充合法的去中心化应用（DApp），并在钱包的模态窗口中显示误导性内容，诱使用户批准交易。这种钓鱼技术目前已被广泛使用。相关组件开发人员已确认将发布新的验证API以降低风险。

模态钓鱼攻击的原理

模态钓鱼攻击主要针对加密钱包的模态窗口进行。模态窗口是移动应用中常用的UI元素，通常显示在主窗口顶部，用于快速操作，如批准或拒绝交易请求。

典型的Web3钱包模态设计会提供交易信息和批准/拒绝按钮。然而，这些UI元素可能被攻击者控制，用于钓鱼攻击。

攻击案例

1. 通过Wallet Connect进行DApp钓鱼

Wallet Connect是一个广受欢迎的开源协议，用于连接用户钱包与DApp。在配对过程中，钱包会显示DApp提供的元信息，包括名称、网址和图标。然而，这些信息未经验证，攻击者可以伪造合法DApp的信息。

例如，攻击者可以假冒知名DApp，诱导用户连接钱包并批准交易。在配对过程中，钱包显示的模态窗口会呈现看似合法的DApp信息，增加了攻击的可信度。

2. 通过智能合约信息进行钓鱼

某些钱包应用在交易批准模态中会显示智能合约的方法名称。攻击者可以通过注册特定的方法名称，如"SecurityUpdate"，来误导用户。

例如，攻击者可以创建一个钓鱼智能合约，其中包含一个名为"SecurityUpdate"的函数。当用户查看交易请求时，会看到一个貌似来自钱包官方的"安全更新"请求，从而增加用户批准恶意交易的可能性。

防范建议

1. 钱包开发者应始终验证外部传入数据的合法性，不应盲目信任任何未经验证的信息。

2. 开发者应仔细选择向用户展示的信息，并对可能被用于钓鱼攻击的内容进行过滤。

3. 用户应对每个未知的交易请求保持警惕，仔细检查交易详情，不轻易批准来历不明的请求。

4. 相关协议和平台应考虑引入更严格的验证机制，以确保显示给用户的信息真实可靠。

随着Web3技术的不断发展，安全意识的提升对于用户和开发者来说都至关重要。只有保持警惕，并不断完善安全措施，才能有效防范这类新型网络钓鱼攻击。