Kabut Lambat: Waspadai kemungkinan risiko phishing dari penggunaan WalletConnect yang tidak tepat

SlowMist mengatakan bahwa perlu waspada terhadap risiko phishing dari dompet Web3 WalletConnect. Pada 30 Januari 2023, tim keamanan SlowMist menemukan bahwa penggunaan WalletConnect yang tidak tepat di dompet Web3 dapat menimbulkan risiko keamanan phishing. Masalah ini ada dalam skenario menggunakan DApp Browser + WalletConnect bawaan di aplikasi dompet seluler. Ketika beberapa dompet Web3 menyediakan dukungan WalletConnect, tidak ada batasan di area mana jendela pop-up transaksi WalletConnect akan muncul, sehingga permintaan tanda tangan akan muncul di setiap antarmuka dompet. Saat pengguna meninggalkan antarmuka Browser DApp dan beralih ke antarmuka dompet lainnya seperti Wallet dan Discover pada contoh, agar tidak memengaruhi pengalaman pengguna dan menghindari otorisasi berulang, koneksi Wallet Connect tidak terputus saat ini, tetapi saat ini pengguna Mungkin salah operasi karena jendela pop-up permintaan tanda tangan tiba-tiba yang diprakarsai oleh DApp jahat, yang dapat menyebabkan transfer aset melalui phishing. Inti dari masalah keamanan ini adalah apakah pengguna harus terus memunculkan jendela secara otomatis untuk menanggapi permintaan dari antarmuka Browser DApp setelah mengalihkan antarmuka Browser DApp ke antarmuka lain, terutama permintaan operasi yang sensitif. Karena respons pop-up buta setelah melewati antarmuka dapat dengan mudah menyebabkan kesalahan pengoperasian pengguna. Ini melibatkan prinsip keamanan: setelah WalletConnect terhubung, setelah dompet mendeteksi bahwa pengguna telah mengalihkan antarmuka Peramban DApp ke antarmuka lain, permintaan pop-up dari Peramban DApp seharusnya tidak diproses.