DAP:一茬接一茬，Web3.0移动钱包又现独特钓鱼攻击手法Modal Phishing

我们最近发现了一种新型的网络钓鱼技术，可用于在连接的去中心化应用身份方面误导受害者。

我们将这种新型的网络钓鱼技术命名为ModalPhishing。

攻击者可以向移动钱包发送伪造的虚假信息冒充合法的DApp，并通过在移动钱包的模态窗口中显示误导性信息来诱受害者批准交易。这种网络钓鱼技术正在广泛使用。我们与相应的组件开发人员进行了沟通，并确认他们将发布新的验证API以降低该风险。

什么是ModalPhishing？

在CertiK对移动钱包的安全研究中，我们注意到Web3.0货币钱包的某些用户界面元素可以被攻击者控制用来进行网络钓鱼攻击。我们将这种钓鱼技术命名为ModalPhishing，因为攻击者主要针对加密钱包的模态窗口进行钓鱼攻击。

模态是移动应用程序中经常使用的UI元素。模态通常显示在应用程序主窗口顶部。这样的设计通常用于方便用户执行快速操作，如批准/拒绝Web3.0货币钱包的交易请求。

余伟文：推进数字人民币在港的跨境使用研究:金色财经报道，港交所将于本月19日推出港币－人民币双柜台模式，香港金管局总裁余伟文出席财新夏季峰会致辞时表示，港币－人民币双柜台模式即将推出，方便股票发行人和投资者以人民币在香港进行股票交易。此外，他指，正争取更多金融机构或其他企业在港进行人民币融资及发行点心债。去年在港发行的点心债总额达3300亿元人民币，较2021年翻1倍。下一步金管局会继续与内地监管部门研究，例如在港推出离岸国债期货，为投资者提供更多元化的风险管理工具，令香港离岸人民币金融市场更成熟，同时推进数字人民币在港的跨境使用研究。（香港经济日报）[2023/6/9 21:26:43]

Web3.0货币钱包上的典型模态设计通常提供供用户检查签名等请求的必要信息，以及批准或拒绝请求的按钮。

真实交易批准模式与网络钓鱼交易批准模式对比

在上方截图中，我们展示了Metamask上一个常规的交易审批模态窗口是如何出现的。

OPNX 将与 RWA 代币化服务提供商 Heimdall 合作，推出索赔交易市场:金色财经报道，Three Arrows Capital 创始人 Zhu Su 等人创办的加密索赔和交易平台 Open Exchange（OPNX）将与现实世界资产（RWA）代币化服务提供商 Heimdall 合作，推出索赔交易市场，用于在公共订单簿上进行索赔申领和交易，使索赔人能够释放索赔中的价值。

其中 OPNX 不会持有用户索赔资产，而是将使索赔代币化，Heimdall 将为 OPNX 用户管理现实世界资产的验证、转移和标记化，验证后，所有索赔将转移并保存在每个平台的专用信托（SPV）中，然后针对信托发行代币并记入索赔人账户，索赔代币反映了信托中索赔的按比例所有权份额，提供索赔详情以验证资格。在持有索赔代币的同时，即使在转让所有权后，用户仍按比例保留信托持有的索赔份额，同时保护索赔的保管不受任何一方的影响。[2023/5/2 14:38:01]

当一个新的交易请求被连接的去中心化应用程序初始化时，钱包会展示一个新的模态窗口，并要求用户进行人工确认。

香港财政司司长：政府将对Web3采取“适当监管”和“推动发展”两者并重的策略:4月9日消息，香港特区政府财政司司长陈茂波在香港特区政府网站发表司长随笔《发展 Web3—守正创新 稳慎前行》，称《财政预算案》提出推动香港高质量发展三大方向，认为当中数字经济和第三代互联网(Web3)的应用，都极具发展潜力。单是在这个星期，就有最少四个与Web3、数字经济、金融科技等相关的大型研讨会或嘉年华活动在香港举行，当中个别活动更预计有超过一万人次实体参与。

陈茂波表示，过去一段时间虚拟资产巿场大幅波动，以至有虚拟资产交易所倒闭，都让一些人怀疑Web3的前景，但这正是推动Web3发展的最好时机。政府将采取“适当监管”和“推动发展”两者并重的策略，包括于今年6月引入虚拟资产服务提供者发牌制度，亦正研究稳定币等监管，确保虚拟资产行业可持续和负责任发展。[2023/4/9 13:52:48]

如上图左侧所示，模态窗口通常包含请求者的身份，如网站地址、图标等。如Metamask这样的一些钱包也会显示有关请求的关键信息，在实例中我们看到一些UI元素被标记为“Confirm”，以提示用户这是一个常规的交易请求。

Hooked Protocol：团队与近期价格波动无关:金色财经报道，Web3 社交网络 Hooked Protocol 针对近期价格波动情况在社交媒体发文称，该协议已将团队分配的 HOOK Token 转移到 Binance Custody 下，这些 Token 将按照预先确定的释放时间表保持锁定状态。Hooked Protocol 还澄清，其团队与近期价格波动走势无关，同时提醒加密市场不稳定，用户应该“Do your own research”。此外，Hooked Protocol 还宣布推出 2023 年发展路线图和产品开发计划，包括更新 APP、拓展海外市场等。[2022/12/14 21:43:11]

然而，这些用户界面元素可以被攻击者控制以进行ModalPhishing攻击。在右侧的截图中，我们可以看到攻击者可以更改交易细节，并将交易请求伪装成来自“Metamask”的“SecurityUpdate”请求，以诱使用户批准。

Discord拓展应用插件Collab.Land已集成Ronin Network:10月27日消息，用于验证所有权的Discord拓展应用插件Collab.Land已集成以太坊侧链Ronin Network，支持所有Discord服务器通过验证用户在Ronin Network上的资产所有权情况来给予不同权限。[2022/10/27 11:48:50]

如截图所示，攻击者可以操纵多个UI元素。

因此我们将在本文中为大家分享两个典型案例，并确定那些可被攻击者控制的UI元素。

详细信息如下：

①如果使用WalletConnect协议，攻击者可以控制DApp信息UI元素。

②攻击者可以控制某些钱包应用中的智能合约信息UI元素。

攻击者控制的Modal和相关的信息源示例

示例①：通过WalletConnect进行DApp钓鱼攻击

WalletConnect协议是一个广受欢迎的开源协议，用于通过二维码或深度链接将用户的钱包与DApp连接。用户可以通过WalletConnect协议将他们的钱包与DApp连接起来，然后与该协议进行进行交易或转账。

在Web3.0货币钱包和DApp之间的配对过程中，我们注意到Web3.0货币钱包会展示一个模态窗口，显示传入配对请求的元信息——包括DApp的名称，网站地址，图标和描述。Web3.0钱包展示的这些信息和方式根据DApp名称、图标和网站地址不同而变化，以供用户查看。

但是这些信息是DApp提供的，钱包并不验证其所提供信息是否合法真实。比如在网络钓鱼攻击中，某雷碧可以假称为某雪碧，而后在用户发起交易请求之前诱用户与其连接。

小伙伴们可以复制链接到浏览器查看CertiK为此做的一个小测试。

在该视频中，CertiK展示了攻击者是如何「欺瞒」UniswapDApp的——攻击者声称自己是UniswapDApp，并连接Metamask钱包，以此用户批准传入的交易。

在配对过程中，钱包内显示的模态窗口呈现了合规UniswapDApp的名称、网站网址和网站图标。

由于网址中使用了https方案，所以还显示了一个挂锁图标，这样显得模态窗口更为逼真和合法了。在配对过程中，只要受害者想在假Uniswap网站上进行交易操作，攻击者就可以替换交易请求参数来窃取受害者的资金。

请注意，虽然不同的钱包上的模态设计不同，但攻击者是始终可以控制元信息的。

下图展示了当我们将ZenGo和1Inch钱包连接到钓鱼网站的DApp时，配对批准模式的样子。

如上例所示，被大规模使用的WalletConnect协议并未验证配对的DApp信息的合法性。被操纵的元信息被钱包应用程序进一步使用并呈现给用户，这可以被用来进行ModalPhishing。作为一个潜在的解决方案，WalletConnect协议可以提前验证DApp信息的有效性和合法性。WalletConnect的开发人员已经承认了知晓这个问题，并正在研究相关解决方案。

示例②：通过MetaMask进行智能合约信息网络钓鱼

你可能已经注意到，在Metamask批准模态的图标或网站名称下，有另一个视图，显示了一个不固定的字符串例如“Confirm”或“UnknownMethod”。这个UI元素是由Metamask设计的，用于识别相应的交易类型。

在呈现交易批准模态时，Metamask会读取智能合约的签名字节，并使用链上方法注册表查询相应的方法名称，如以下代码所示。然而，这也会在模态上创建另一个可以被攻击者控制的UI元素。

MetaMask的智能合约方法名称说明

我们可以看到Metamask上有一个交易请求模态，其被标记为“SecurityUpdate”。攻击者建立了一个钓鱼智能合约，其有一个SecurityUpdate具备支付函数功能，并允许受害者将资金转入该智能合约。

攻击者还使用SignatureReg将方法签名注册为人类可读的字符串“SecurityUpdate”中。如前所述，当Metamask解析这个钓鱼智能合约时，它使用函数签名字节查询相应的函数方法，并在批准模态中呈现给用户。

从这个智能合约的交易可以看出，这个特定的钓鱼智能合约已经运行了200多天。

开发者应该时刻注意监测那些会向用户呈现的内容，并采取预防措施过滤掉可能被用于网络钓鱼攻击的词语。

写在最后

在本文中，我们为大家展示了Web3.0货币钱包上不应盲目信任的常见UI组件——模态窗口。

模态窗口中的某些UI元素可以被攻击者操纵，以创造出非常「真实且有说服力」的钓鱼陷阱。因此，我们将这种新的网络钓鱼技术命名为ModalPhishin。

这种攻击发生的根本原因是钱包应用程序没有彻底验证所呈现的UI元素的合法性。

例如，钱包应用程序直接信任来自WalletConnectSDK的元数据，并将其呈现给了用户。

WalletConnectSDK也并不验证传入的元数据，这在某些情况下使得呈现的元数据可以被攻击者控制。在Metamask中，我们可以看到类似的攻击原理也被攻击者滥用，在模态窗口中显示欺诈性的智能合约函数方法名称。

总体而言，我们认为钱包应用程序的开发者应该始终假设外部传入的数据是不可信的。开发者应该仔细选择向用户展示哪些信息，并验证这些信息的合法性。除此之外，用户也应通过对每个未知的交易请求保持怀疑的态度来守好自己安全上的「一亩三分地」。

标签：APPDAPDAPPWEB3kucoin交易所app下载区块链dapp开发白富美区块链dapp开发白富美WEB3ALLBI价格

币赢交易所热门资讯