По сообщению Foresight News, Slow Mist заявила, что необходимо быть готовыми к фишинговому риску кошелька Web3 WalletConnect. 30 января 2023 года команда безопасности SlowMist обнаружила, что неправильное использование WalletConnect в кошельке Web3 может представлять угрозу безопасности в виде фишинга. Эта проблема существует в сценарии использования DApp Browser + WalletConnect, встроенного в приложение мобильного кошелька. Когда некоторые кошельки Web3 обеспечивают поддержку WalletConnect, они не ограничивают область, в которой появляется всплывающее окно транзакции WalletConnect, поэтому запрос на подпись появится в любом интерфейсе кошелька.

Когда пользователь покидает интерфейс DApp Browser и переключается на другие интерфейсы кошелька, такие как Wallet, Discover и другие интерфейсы в примере, чтобы не влиять на работу пользователя и избегать повторной авторизации, соединение Wallet Connect не отключается при на этот раз, но пользователь. Это может быть связано с внезапным всплывающим окном с запросом подписи, инициированным вредоносным DApp, и неправильной работой, что привело к передаче активов путем фишинга.

Суть этой проблемы безопасности заключается в том, должны ли пользователи продолжать автоматически открывать всплывающие окна для ответа на запросы интерфейса браузера DApp после переключения интерфейса браузера DApp на другие интерфейсы, особенно на запросы конфиденциальных операций. Потому что слепые всплывающие ответы после пересечения интерфейса могут легко привести к неправильной работе пользователя. Это связано с принципом безопасности: после подключения WalletConnect кошелек не должен обрабатывать всплывающие запросы от браузера DApp после обнаружения того, что пользователь переключил интерфейс браузера DApp на другой интерфейс.