Slow Mist: Hãy cảnh giác với những rủi ro lừa đảo có thể xảy ra khi sử dụng WalletConnect không đúng cách

SlowMist cho rằng cần cảnh giác với nguy cơ lừa đảo của ví Web3 WalletConnect. Vào ngày 30 tháng 1 năm 2023, nhóm bảo mật SlowMist đã phát hiện ra rằng việc sử dụng WalletConnect trên ví Web3 không đúng cách có thể dẫn đến rủi ro bảo mật là bị lừa đảo. Sự cố này tồn tại trong trường hợp sử dụng Trình duyệt DApp + WalletConnect tích hợp trong ứng dụng ví di động. Khi một số ví Web3 cung cấp hỗ trợ WalletConnect, không có hạn chế về khu vực mà cửa sổ bật lên giao dịch WalletConnect sẽ bật lên, do đó yêu cầu chữ ký sẽ bật lên trên bất kỳ giao diện nào của ví. Khi người dùng rời khỏi giao diện Trình duyệt DApp và chuyển sang các giao diện khác của ví như Wallet và Discover trong ví dụ, để không ảnh hưởng đến trải nghiệm người dùng và tránh ủy quyền nhiều lần, kết nối của Wallet Connect không bị ngắt kết nối vào lúc này, nhưng tại thời điểm này, người dùng có thể hoạt động sai do cửa sổ bật lên yêu cầu chữ ký đột ngột do DApp độc hại khởi tạo, điều này có thể dẫn đến việc chuyển tài sản bằng cách lừa đảo. Cốt lõi của vấn đề bảo mật này là liệu người dùng có nên tiếp tục tự động bật lên các cửa sổ để phản hồi các yêu cầu từ giao diện Trình duyệt DApp hay không sau khi chuyển giao diện Trình duyệt DApp sang các giao diện khác, đặc biệt là các yêu cầu hoạt động nhạy cảm. Bởi vì phản hồi bật lên mù sau khi qua giao diện có thể dễ dàng dẫn đến thao tác sai của người dùng. Điều này liên quan đến nguyên tắc bảo mật: sau khi WalletConnect được kết nối, sau khi ví phát hiện ra rằng người dùng đã chuyển giao diện Trình duyệt DApp sang giao diện khác, thì ví sẽ không xử lý yêu cầu bật lên từ Trình duyệt DApp.