WalletConnect网络钓鱼风险简介
2023年1月30日,慢雾安全团队发现Web3钱包上WalletConnect使用不当可能存在被钓鱼的安全风险。这个问题存在于使用手机钱包App内置的DApp浏览器+WalletConnect的场景中。
我们发现有些Web3钱包提供WalletConnect支持时,WalletConnect的交易弹窗会弹出到哪个区域没有限制,所以在钱包的任何界面都会弹出签名请求。
当用户离开DApp浏览器界面,切换到钱包的其他界面,如例子中的Wallet、Discover等界面时,为了不影响用户体验,避免重复授权,此时钱包没有断开连接,但此时用户可能会误用恶意DApp突然发起的签名请求弹窗,导致资产被钓鱼移除。
动态演示GIF如下:
攻击者利用恶意DApp钓鱼网站,引导用户使用WalletConnect连接钓鱼页面,然后发送恶意签名请求(如盲签、授权签名、特殊智能合同协议的交易签名等。,以eth_sign为例)。在用户认识到eth_sign可能不安全而拒绝签名后,由于WalletConnect使用wss连接,如果用户未能及时关闭连接,钓鱼页面会不断发起恶意请求构造eth_sign签名弹窗,用户在使用钱包时可能会错误点击签名按钮,导致用户资产被盗。
这个安全问题的核心是,在DApp浏览器界面切换到其他界面后,用户是否应该继续自动弹出窗口来响应来自DApp浏览器界面的请求,尤其是敏感的操作请求。因为跨界面后的盲目弹出响应很容易导致用户的误操作。
这涉及到一个安全原则:WalletConnect连接后,钱包在检测到用户切换到其他界面后,不应该处理来自DApp浏览器的弹出请求。
另外需要注意的是,虽然手机钱包App+PC浏览器的WalletConnect连接场景也存在同样的问题,但是在这种场景下用户可能不会那么容易误操作。
WalletConnect连接后接口切换的处理。
慢雾安全团队选择了20款在市场上有大量热门搜索和下载的加密钱包应用进行测试:
根据以上测试结果,我们发现:
1.一些流行的钱包应用程序,如MetaMask,金恩钱包,Trust Wallet,SafePal Wallet和iToken Wallet,会自动响应DApp的请求,并在WalletConnect连接后切换到其他界面时弹出签名窗口。
2.大多数测试的钱包应用程序不会响应DApp的请求,在切换界面后不会弹出提示窗口。
3.少数钱包App在测试环境中无法使用WalletConnect连接DApp,如比特币基地钱包和MEW加密钱包。WalletConnect接口不太适合钱包的DApp。
4.一些钱包类App,如Exodus Wallet、Edge Wallet,在连接测试环境中没有找到相关的DApp进行测试,因此无法判断其切换接口后的反应。
WalletConnect钓鱼风险的发现与跟进慢雾安全团队最早在信任钱包上发现了这个问题,并通过Bugcrowd漏洞提交平台提交给他们。我们得到了Trust Wallet的感谢,他们表示会在下一个版本中修复这个安全隐患。
特别是如果钱包对eth_sign等低级签名功能(盲签名)没有任何风险提示,eth_sign就是一个非常危险的低级签名,大大加剧了WalletConnect上的钓鱼风险。
但是,如果只是禁用eth_sign,并不是完全没有风险的(本文仅以eth_sign为例),我们还是呼吁更多的钱包开始禁用它。以用户数量最多的MetaMask钱包为例。插件终端在2023年2月10日发布的V10.25.0版本中已经默认禁用了eth_sign,移动终端在2023年3月1日发布的6.11版本中也开始默认支持eth_sign。用户需要在设置中手动打开才能使用。
(参考:https://github.com/MetaMask/metamask-extension/pull/17308)
(参考:https://github.com/MetaMask/metamask-mobile/pull/5848)
不过,值得一提的是,在MetaMask 6.11之后,增加了对DApp的URI请求的验证。然而,当DApp与WalletConnect交互时,该验证也会给出弹出警告。但是,此警告存在由无限弹出窗口导致的风险。
总结和建议
对于个人用户来说,风险主要在于“域名和签名”这两个核心点。WalletConnect是一种钓鱼方法,长期以来被很多恶意网站用于钓鱼攻击,使用时一定要提高警惕。
对于钱包项目方来说,首先需要进行全面的安全审计,着力提升用户交互的安全性,强化所见即签的机制,降低用户被钓鱼的风险,比如:
钓鱼网站提醒:通过生态或社区的力量,聚集各类钓鱼网站,在用户与这些钓鱼网站互动时,对风险进行提醒和报警。
签名的识别和提醒:识别和提醒eth_sign、personal_sign、signTypedData等签名请求,重点提醒eth_sign盲签的风险。
所见即所签:钱包可以详细分析合同调用,以避免批准钓鱼,并让用户知道DApp交易构建的细节。
预执行机制:事务的预执行机制可以帮助用户了解事务广播执行后的效果,帮助用户预测事务的执行情况。
同尾号诈骗提醒:显示地址时,提醒用户查看完整的目标地址,避免同尾号诈骗。通过设置白名单地址机制,用户可以将常用地址添加到白名单中,避免相同后缀的类似攻击。
在交易展示中,可以增加小额或无价值代币交易的隐藏功能,避免尾号钓鱼。
反洗钱合规提醒:转账时,提醒用户转账目的地址是否会触发反洗钱规则。
请持续关注慢雾安全团队,更多钓鱼安全风险分析和预警正在路上。
作为行业领先的区块链安全公司,慢雾科技在安全审计领域已经深耕多年。安全审计不仅让用户安心,也是减少攻击的手段之一。其次,由于数据孤立,各机构难以识别跨机构洗钱团伙,给反洗钱工作带来巨大挑战。作为项目方,及时阻断恶意地址的资金转移也是重中之重。MistTrack反洗钱追踪系统积累了超过2亿个地址标签,可以识别全球主流交易平台的各类钱包地址,包括超过1000个地址实体,超过10万个威胁情报数据,超过9000万个风险地址。如有必要,请联系我们访问API。最后,我希望各方共同努力,让区块链的生态变得更好。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"web3.0钱包,web币":http://www.guoyinggangguan.com/qkl/157532.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
