「ForesightNews」ForesightNews消息,慢雾表示需要警惕Web3
钱包Walletconnect钓鱼的风险。2023年1月30日,慢雾安全团队发现,如果Web3钱包上使用Walletconect不当,可能存在钓鱼安全风险。这个问题存在于DAPBrowser,使用移动钱包应用程序内置。 WalletConect场景。一些Web3钱包在提供WalletConect支持时,并没有限制WalletConect交易弹出窗口在哪个区域弹出,因此签名请求将在钱包的任何界面弹出。当用户离开DAPBrowser界面并切换到钱包的其他界面时,例如Wallet、Discover等界面,由于钱包为了不影响用户体验,避免重复授权,Walletconect的连接没有断开,但此时用户可能会因为恶意DApp突然发起的签名请求弹出窗口而误操作,导致资产被钓鱼转移。这个安全问题的核心是用户是否应该继续自动弹出窗口来响应DAPPBrowser界面的请求,特别是在将DAPPBrowser界面切换到其他界面后,特别是敏感操作请求。由于跨界面后弹出窗口的盲目响应容易导致用户误操作。这涉及到一个安全原则:Walletconect连接后,在检测到用户将DAppbrowser界面切换到其他界面后,钱包不应处理来自DAppbrowser的弹出窗口请求。
