我們將這種新型的網(wǎng)絡(luò)釣魚(yú)技術(shù)命名為ModalPhishing（模態(tài)釣魚(yú)攻擊）。

攻擊者可以向移動(dòng)錢(qián)包發(fā)送偽造的虛假信息冒充合法的DApp，并通過(guò)在移動(dòng)錢(qián)包的模態(tài)窗口中顯示誤導(dǎo)性信息來(lái)誘騙受害者批準(zhǔn)交易。這種網(wǎng)絡(luò)釣魚(yú)技術(shù)正在廣泛使用。我們與相應(yīng)的組件開(kāi)發(fā)人員進(jìn)行了溝通，并確認(rèn)他們將發(fā)布新的驗(yàn)證API以降低該風(fēng)險(xiǎn)。

什么是ModalPhishing？ 在CertiK對(duì)移動(dòng)錢(qián)包的安全研究中，我們注意到Web3.0貨幣錢(qián)包的某些用戶(hù)界面（UI）元素可以被攻擊者控制用來(lái)進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊。我們將這種釣魚(yú)技術(shù)命名為ModalPhishing，因?yàn)楣粽咧饕槍?duì)加密錢(qián)包的模態(tài)窗口進(jìn)行釣魚(yú)攻擊。

模態(tài)（或模態(tài)窗口）是移動(dòng)應(yīng)用程序中經(jīng)常使用的UI元素。模態(tài)通常顯示在應(yīng)用程序主窗口頂部。這樣的設(shè)計(jì)通常用于方便用戶(hù)執(zhí)行快速操作，如批準(zhǔn)/拒絕Web3.0貨幣錢(qián)包的交易請(qǐng)求。

Web3.0貨幣錢(qián)包上的典型模態(tài)設(shè)計(jì)通常提供供用戶(hù)檢查簽名等請(qǐng)求的必要信息，以及批準(zhǔn)或拒絕請(qǐng)求的按鈕。

真實(shí)交易批準(zhǔn)模式與網(wǎng)絡(luò)釣魚(yú)交易批準(zhǔn)模式對(duì)比 在上方截圖中，我們展示了Metamask上一個(gè)常規(guī)的交易審批模態(tài)窗口是如何出現(xiàn)的。

當(dāng)一個(gè)新的交易請(qǐng)求被連接的去中心化應(yīng)用程序（DApp）初始化時(shí)，錢(qián)包會(huì)展示一個(gè)新的模態(tài)窗口，并要求用戶(hù)進(jìn)行人工確認(rèn)。

如上圖左側(cè)所示，模態(tài)窗口通常包含請(qǐng)求者的身份，如網(wǎng)站地址（此例中為localhost）、圖標(biāo)等。如Metamask這樣的一些錢(qián)包也會(huì)顯示有關(guān)請(qǐng)求的關(guān)鍵信息，在實(shí)例中我們看到一些UI元素被標(biāo)記為“Confirm”，以提示用戶(hù)這是一個(gè)常規(guī)的交易請(qǐng)求。

然而，這些用戶(hù)界面元素可以被攻擊者控制以進(jìn)行ModalPhishing攻擊。在右側(cè)的截圖中，我們可以看到攻擊者可以更改交易細(xì)節(jié)，并將交易請(qǐng)求偽裝成來(lái)自“Metamask”的“SecurityUpdate”請(qǐng)求，以誘使用戶(hù)批準(zhǔn)。

如截圖所示，攻擊者可以操縱多個(gè)UI元素。

因此我們將在本文中為大家分享兩個(gè)典型案例，并確定那些可被攻擊者控制的UI元素。

詳細(xì)信息如下：

①如果使用WalletConnect協(xié)議，攻擊者可以控制DApp信息UI元素（名稱(chēng)、圖標(biāo)等）。

②攻擊者可以控制某些錢(qián)包應(yīng)用中的智能合約信息UI元素。

熱點(diǎn)：錢(qián)包