Laut Foresight News sagte Slow Mist, dass man vor dem Phishing-Risiko der Web3-Wallet WalletConnect wachsam sein müsse. Am 30. Januar 2023 stellte das SlowMist-Sicherheitsteam fest, dass die missbräuchliche Verwendung von WalletConnect auf dem Web3-Wallet ein Sicherheitsrisiko durch Phishing darstellen kann. Dieses Problem besteht im Szenario der Verwendung des in die mobile Wallet-App integrierten DApp-Browsers + WalletConnect. Wenn einige Web3-Wallets WalletConnect-Unterstützung bieten, schränken sie den Bereich, in dem das WalletConnect-Transaktions-Popup-Fenster angezeigt wird, nicht ein, sodass eine Signaturanforderung auf jeder Schnittstelle des Wallets angezeigt wird.

Wenn der Benutzer die DApp-Browser-Schnittstelle verlässt und zu anderen Schnittstellen des Wallets wechselt, wie z. B. Wallet, Discover und anderen Schnittstellen im Beispiel, wird die Wallet Connect-Verbindung nicht getrennt, um das Benutzererlebnis nicht zu beeinträchtigen und eine wiederholte Autorisierung zu vermeiden Diesmal ist es jedoch so, dass der Benutzer möglicherweise auf ein plötzliches Popup-Fenster zur Signaturanforderung zurückzuführen ist, das durch eine böswillige DApp und eine Fehlbedienung initiiert wurde, was zur Übertragung von Vermögenswerten durch Phishing führte.

Der Kern dieses Sicherheitsproblems besteht darin, ob Benutzer weiterhin automatisch Fenster öffnen sollten, um auf Anfragen von der DApp-Browser-Schnittstelle zu reagieren, nachdem sie die DApp-Browser-Schnittstelle auf andere Schnittstellen umgestellt haben, insbesondere auf sensible Betriebsanfragen. Denn blinde Popup-Antworten nach dem Überqueren der Benutzeroberfläche können leicht zu Fehlbedienungen des Benutzers führen. Dies beinhaltet ein Sicherheitsprinzip: Nachdem WalletConnect verbunden ist, sollte das Wallet keine Popup-Anfragen vom DApp-Browser verarbeiten, nachdem festgestellt wurde, dass der Benutzer die DApp-Browser-Schnittstelle auf eine andere Schnittstelle umgestellt hat.