慢雾：警惕Web3钱包WalletConnect钓鱼风险

慢雾安全团队近日发现Web3钱包上关于WalletConnect使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包App内置的DAppBrowser+WalletConnect的场景下。 慢雾发现，部分Web3钱包在提供WalletConnect支持的时候，没有对WalletConnect的交易弹窗要在哪个区域弹出进行限制，因此会在钱包的任意界面弹出签名请求。 当用户离开DApp Browser界面切换到钱包其他界面如示例中的Wallet、Discover等界面，由于钱包为了不影响用户体验和避免重复授权，此时WalletConnect的连接是没有断开的，但是此时用户却可能因为恶意DApp突然发起的签名请求弹窗而误操作导致被钓鱼转移走资产。

本文由会员发布，不代表本站立场，如有侵权请联系我们删除！