「ForesightNews」慢雾：警惕WalletConnect使用不当可能存在的钓鱼风险

「ForesightNews」ForesightNews消息，慢雾表示需要警惕Web3钱包Walletconnect钓鱼的风险。2023年1月30日，慢雾安全团队发现，如果Web3钱包上使用Walletconect不当，可能存在钓鱼安全风险。这个问题存在于DAPBrowser，使用移动钱包应用程序内置。  WalletConect场景。一些Web3钱包在提供WalletConect支持时，并没有限制WalletConect交易弹出窗口在哪个区域弹出，因此签名请求将在钱包的任何界面弹出。当用户离开DAPBrowser界面并切换到钱包的其他界面时，例如Wallet、Discover等界面，由于钱包为了不影响用户体验，避免重复授权，Walletconect的连接没有断开，但此时用户可能会因为恶意DApp突然发起的签名请求弹出窗口而误操作，导致资产被钓鱼转移。这个安全问题的核心是用户是否应该继续自动弹出窗口来响应DAPPBrowser界面的请求，特别是在将DAPPBrowser界面切换到其他界面后，特别是敏感操作请求。由于跨界面后弹出窗口的盲目响应容易导致用户误操作。这涉及到一个安全原则:Walletconect连接后，在检测到用户将DAppbrowser界面切换到其他界面后，钱包不应处理来自DAppbrowser的弹出窗口请求。