慢雾:警惕 Web3 钱包 WalletConnect 钓鱼风险
💡
原文中文,约2300字,阅读约需6分钟。
📝
内容提要
慢雾安全团队发现,使用移动端钱包App内置的DApp Browser+WalletConnect的场景下,存在被钓鱼的安全风险问题。攻击者利用恶意DApp钓鱼网站引导用户使用WalletConnect与钓鱼页面连接后,发送恶意的签名请求,导致用户资产被盗。钱包应该对来自DApp Browser的弹窗请求不进行处理。建议用户保持高度警惕,钱包项目方需要进行全面的安全审计,重点提升用户交互安全部分。
🎯
关键要点
- 慢雾安全团队发现移动端钱包App内置的DApp Browser+WalletConnect存在钓鱼风险。
- 攻击者利用恶意DApp钓鱼网站引导用户连接后发送恶意签名请求,导致资产被盗。
- 钱包应对来自DApp Browser的弹窗请求不进行处理,以防止用户误操作。
- 部分热门钱包在WalletConnect连接后切换界面时会自动响应DApp请求,存在安全隐患。
- 慢雾安全团队通过Bugcrowd向Trust Wallet提交了安全问题,Trust Wallet表示将修复。
- 呼吁更多钱包禁用低级签名函数eth_sign,以降低钓鱼风险。
- 用户在使用WalletConnect时需保持警惕,钱包项目方应进行全面安全审计,提升用户交互安全。
🏷️
标签
➡️
