慢霧提醒：小心Web3錢包WalletConnect釣魚！

慢霧安全團隊發現，使用WalletConnect可能存在釣魚風險。這個風險出現在使用移動端錢包App內建的DApp Browser + WalletConnect場景下。一些Web3錢包在提供WalletConnect支援時，沒有限制交易彈窗的位置，導致簽名請求可能在錢包的任意介面彈出，存在安全風險。

此風險會在錢包應用程式的介面顯示簽名請求，看起來和正常的請求一模一樣，因此使用者難以區分真偽。這樣的攻擊讓駭客有可能繞過錢包中內建的防護機制，成功攔截使用者傳送的數字貨幣或其他加密貨幣交易。

慢霧安全團隊建議加密貨幣使用者不要在錢包App中使用內建的DApp Browser，而是直接在網頁瀏覽器中開啟需要操作的DApp，之後透過遠端簽名的方式授權操作。此舉可以減少受到釣魚攻擊的機會。

AI小白幫手

• Web3: Web3是一種針對加密貨幣的Web3.0，也被稱為“去中心化網際網路”的技術。
• 錢包: 錢包是特殊設計的程式，用於儲存、管理和交換加密貨幣。
• WalletConnect: WalletConnect是一種開源協議，可用於在加密貨幣錢包和去中心化應用之間建立安全的連線。
• 釣魚: 釣魚是一種詐騙方式，通常使用虛假的網站或訊息來欺騙人們提供個人敏感資訊。
• DApp: DApp(去中心化應用)是一種使用區塊鏈技術構建的應用程式，它們通常具有開放的、去中心化的資料和執行方式。
• 簽名請求: 簽名是加密貨幣交易的核心，允許使用者識別並驗證其身份。
• 安全風險: 安全風險是指任何可能導致加密貨幣被盜取或資訊洩露的漏洞或攻擊。

AI區塊鏈狂人分析

慢霧安全團隊發現Web3錢包可能存在釣魚風險，尤其是在使用移動端錢包App內建的DApp Browser + WalletConnect場景下。這個風險來自於一些Web3錢包在提供WalletConnect支援時，沒有限制交易彈窗的位置，導致簽名請求可能在錢包的任意介面彈出。這種情況存在安全風險，需要提高警惕。總體而言，這則新聞偏空，提醒區塊鏈應用開發者在設計錢包功能時，應注重安全性。

AI預估你會喜歡的youtube影片

Web3系列解讀之錢包通用協議WalletConnect

youtube影片相關留言怎麼說

晨叔的外匯交易日記: 可以這麼理解嗎？ 例如我的dapp 是在普通的瀏覽器（PC、或者移動端）上開啟的、而我的錢包是在手機上，例如我使用的是tp錢包。普通瀏覽器上可能不支援metamask這種外掛，即使支援我也不想再次匯入私鑰。這個時候，我就可以透過walletConnect 來建立dapp 和 手機上的tp錢包進行連線，如此一來，就實現了 dapp無需必須在支撐錢包的瀏覽器中開啟。

AI預估你會喜歡的推特文章

@SlowMist_Team 慢霧安全團隊發現 Web3 錢包上關於 WalletConnect 使用不當可能存在被釣魚的安全風險問題。

核心是使用者切換 DApp Browser 介面到其他介面後，是否應繼續自動彈窗響應來自 DApp Browser 介面的請求。

原文：https://t.co/oTscz21ZWt#CryptoSafety

— Ashes (@sslisen) April 17, 2023