慢雾：警戒 Web3 钱包 WalletConnect 垂纶危急

WalletConnect 钓鱼告急先容

2023 年 1 月 30 日，慢雾安全团队发明 Web3 钱包上对于 WalletConnect 利用没有当大概生存被钓鱼的安全告急课题。这个课题生存于利用迁徙端钱包 App 内置的 DApp Browser + W币安官网入口alletConnect 的场景下。

咱们发明，全体 Web3 钱包正在供给 WalletConnect 支柱的时分，没有对于 WalletConnect 的买卖弹窗要正在哪个区域弹出施行限制，所以会正在钱包的随便界面弹出出面恳求。

当用户分开 DApp Browser 界面切换到钱包其他界面如示例中的 Wallet、Discover 等界面，因为钱包为了没有作用用户感受以及避免反复授权，此时 Wallet Connect 的连贯是没有断开的，不过此时用户却大概由于好心 DApp 突然提议的出面恳求弹窗而误操作导致被钓鱼转化走物业。

动静演示 GIF 以下图：

打击者运用好心 DApp 钓鱼网站启发用户利用 WalletConnect 与钓鱼页面连贯后，然后按时没有拆开发送好心的出面恳求（如 eth_sign 这种盲签、授权出面、针对于寻常智能合约协议的买卖出面等，后面以 eth_sign 算作举例）。用户判别到 eth_sign 大概没有安全推辞出面后，因为 WalletConnect 选择 wss 的办法施行连贯，假设用户没有适时合拢连贯，钓鱼页面会不停的提议组织好心的 eth_sign 出面弹窗恳求，用户正在利用钱包的时分有很大的大概会正确的点击订立按钮，导致用户的物业被盗。

这个安全课题的当中是用户切换 DApp Browser 界面到其他界面后，是否应连续主动弹窗反映来自 DApp Browser 界面的恳求，尤为是敏锐操作恳求。由于跨界面后自觉弹窗反映很轻易导致用户的误操作。

这边面触及到一个安全准则：WalletConnect 连贯后，钱包正在检测到用户切换 DApp Browser 界面到其他界面后，应该对于来自 DApp Browser 的弹窗恳求没有施行处置。

其它须要留神的是，虽然迁徙端钱包 App + PC 欣赏器的 WalletConnect 连贯场景也生存异样的课题，不过用户正在这种场景下大概没币安官网登录有那么轻易误操作。

WalletConnect 连贯后界面切换的处置状况

慢雾安全团队抽取市情热点搜寻以及下载量较为大的 20 个 Crypto Wallet App币安登录地址 施行测试：

根据上表测试了局，咱们发明：

1. 全体热点钱包 App 如 MetaMask、Enjin Wallet、Trust Wallet、SafePal Wallet 及 iToken Wallet 等，正在 WalletConnect 连贯后切换到其他界面时，会主动反映 DApp 的恳求，并弹出出面窗口。

2. 大全体测试的钱包 App 正在切换界面后，对于 DApp 的恳求没有会做出反映，也没有会弹出提醒窗口。

3. 小量钱包 App 正在测试境况下没法利用 WalletConnect 与 DApp 连贯，如 Coinbase Wallet 以及 MEW Crypto Wallet 等。钱包的 DApp 中没有是很适配 WalletConnect 接口。

4. 全体钱包 App 如 Exodus Wallet 以及 Edge Wallet 正在连贯测试境况下未找到相干的 DApp 施行测试，没法判别其切换界面后的反映状况。

慢雾安全团队最初正在 Trust Wallet 上发明这个课题，并经过 Bugcrowd 马脚提交平台向他们提交了这个课题，咱们取得了 Trust Wallet 的报答，他们示意将鄙人一个版本建设这个安全告急。

稀奇的是，假设钱包对于 eth_sign 这种庸俗出面函数（盲签）没有一切告急指示，eth_sign 这是一种很是安全的庸俗出面，大大加剧了 WalletConnect 这个课题钓鱼的告急。

没有过假设仅仅禁用了 eth_sign 也没有是全面没有告急（本文仅是拿 eth_sign 举例阐明），咱们依然呼吁更多的钱包结束禁用它。以用户数目至多的 MetaMask 钱包为例，其插件端一经正在 2023 年 2 月 10 号揭晓的 V10.25.0 版本默认禁用 eth_sign，而迁徙端也正在 2023 年 3 月 1 号揭晓的版本号为 6.11 结束默认没有支柱 eth_sign，用户须要到树立大家动翻开才华利用它。

（Refer: https://github.com/MetaMask/metamask-extension/pull/17308）

（Refer: https://github.com/MetaMask/metamask-mobile/pull/5848）

没有过值得一提的是，MetaMask 6.11 版本之后推广了对于 DApp 施行 URI 恳求的校验，不过这个校验正在 DApp 利用 WalletConnect 施行交互的时分，异样会施行弹窗忠告，没有过这个忠告生存被无限制弹窗导致 DoS 的告急。

归纳与提议

对于集体用户来讲，告急主要正在 “域名、出面” 两个当中点，WalletConnect 这种钓鱼办法早已被良多好心网站用于钓鱼打击，利用时必得维持高度警觉。

对于钱包项目方来讲，开始是须要施行周全的安全审计，中心选拔用户交互安全数分，强化所见即所签体制，削减用户被钓鱼告急，如：

钓鱼网站指示：经过生态大概社区的力气汇聚各种钓鱼网站，并正在用户与这些钓鱼网站交互的时分对于告急施行注目地指示以及告警。

出面的判别以及指示：判别并指示 eth_sign、personal_sign、signTypedData 这类出面的恳求，偏重点指示 eth_sign 盲签的告急。

所见即所签：钱包中也许对于合约挪用施行和婉剖析体制，避免 Approve 钓鱼，让用户分解 DApp 买卖组织时的精细实质。

预施行体制：经过买卖预施行体制也许帮忙用户领会到买卖广播施行后的动机，有助于用户对于买卖施行施行预判。

尾号不异的诈骗指示：正在揭示地方的时分注目的指示用户反省齐全的目的地方，避免尾号不异的诈骗课题。树立白名单地方体制，用户也许将常用的地方参加到白名单中，避免一致尾号不异的打击。

正在买卖再现上，也许推广对于小额大概无价值代币买卖的潜伏功能，避免尾号钓鱼。

AML 合规指示：正在转账的时分经过 AML 体制指示用户转账的目的地方是否会触发 AML 的法则。

请延续存眷慢雾安全团队，更多的钓鱼安全告急分解与告警在路上。

慢雾科技算作一家行业跨越的区块链安全公司，正在安全审计方面深耕多年，安全审计没有仅让用户宽心，更是升高打击产生的目的之一。其次，各家机构因为数据孤岛，难以有关判别出跨机构的洗钱团伙，给反洗钱处事带来辽阔寻衅。而算作项目方，适时拉黑阻断好心地方的资金转化也是重中之重。MistTrack 反洗钱追踪系统积存了 2 亿多个地方标签，恐怕判别寰球主流买卖平台的各种钱包地方，蕴含 1 千多个地方实体、超 10 万个吓唬谍报数据以及超 9 绝对个告急地方，如有须要可关连咱们接入 API。最终指望各方独特尽力，一统让区块链生态更美妙。