Web3.0移动钱包受到独特ModalPhishing钓鱼攻击

最近我们发现了一种名为ModalPhishing（模态钓鱼攻击）的新型网络钓鱼技术，可以误导用户在连接的去中心化应用（DApp）身份方面。攻击者可以向移动钱包发送伪造的虚假信息，冒充合法的DApp，并通过在模态窗口中显示误导性信息来诱骗受害者批准交易。这种网络钓鱼技术正在广泛使用，但我们已经与相关的组件开发人员进行了沟通，确认他们将发布新的验证API以降低该风险。

在CertiK对移动钱包的安全研究中，我们发现Web3.0货币钱包的用户界面（UI）元素可以被攻击者控制，从而进行网络钓鱼攻击。ModalPhishing主要针对加密钱包的模态窗口进行钓鱼攻击。模态是经常用于移动应用程序中的UI元素，用于方便用户执行快速操作，例如批准/拒绝Web3.0货币钱包的交易请求。

Web3.0货币钱包上的典型模态设计通常提供必要信息供用户检查签名等请求，并批准或拒绝请求的按钮。攻击者可以操纵这些UI元素以进行ModalPhishing攻击。

我们在本文中将分享两个典型案例，并确定那些可被攻击者控制的UI元素，详细信息如下： 1. 如果使用WalletConnect协议，攻击者可以控制DApp信息UI元素（名称、图标等）。 2. 攻击者可以操纵某些钱包应用中的智能合约信息UI元素。