قال SlowMist أنه من الضروري توخي الحذر من مخاطر التصيد الاحتيالي لمحفظة Web3 WalletConnect. في 30 كانون الثاني (يناير) 2023 ، اكتشف فريق أمان SlowMist أن الاستخدام غير السليم لـ WalletConnect على محفظة Web3 قد ينطوي على مخاطر أمنية من التعرض للتصيد الاحتيالي. توجد هذه المشكلة في سيناريو استخدام DApp Browser + WalletConnect المدمج في تطبيق محفظة الهاتف المحمول. عندما توفر بعض محافظ Web3 دعم WalletConnect ، لا توجد قيود على المنطقة التي ستظهر فيها النافذة المنبثقة لمعاملة WalletConnect ، لذلك سينبثق طلب التوقيع على أي واجهة للمحفظة. عندما يغادر المستخدم واجهة متصفح DApp ويتحول إلى واجهات أخرى للمحفظة مثل Wallet و Discover في المثال ، حتى لا تؤثر على تجربة المستخدم وتجنب التفويض المتكرر ، لا يتم قطع اتصال Wallet Connect في هذا الوقت ، ولكن في هذا الوقت المستخدم قد يكون الأمر خاطئًا بسبب النافذة المنبثقة لطلب التوقيع المفاجئ التي بدأها DApp الخبيث ، مما قد يؤدي إلى نقل الأصول عن طريق التصيد الاحتيالي. يتمثل جوهر مشكلة الأمان هذه في ما إذا كان يجب على المستخدم الاستمرار في النوافذ المنبثقة تلقائيًا للاستجابة للطلبات من واجهة متصفح DApp بعد تبديل واجهة متصفح DApp إلى واجهات أخرى ، خاصة طلبات التشغيل الحساسة. لأن استجابة النوافذ المنبثقة العمياء بعد عبور الواجهة يمكن أن تؤدي بسهولة إلى سوء تشغيل المستخدم. يتضمن هذا مبدأ أمان: بعد توصيل WalletConnect ، بعد أن تكتشف المحفظة أن المستخدم قد قام بتحويل واجهة متصفح DApp إلى واجهة أخرى ، يجب ألا يعالج الطلب المنبثق من متصفح DApp.
Joy
