Загін подає сигнал тривоги щодо схеми отруєння адрес, що вражає користувачів мультипідпису Solana

Squads повідомила про активну атаку отруєння адрес, спрямовану на користувачів мультиsig Solana. Поки що кошти не втрачені, але загроза реальна і швидко зростає.

Squads, провідна платформа мультиsig на Solana, опублікувала в понеділок попередження про безпеку, яке більшість користувачів, ймовірно, не очікували побачити. Атака відруєння адрес активно націлена на її базу користувачів. Кошти поки що не втрачені.

Ще ні.

Згідно з @multisig у X, зловмисники використовують спосіб індексування публічних даних у мережі Solana. Оскільки кожен публічний ключ та його пов’язані акаунти видно в мережі, зловмисники автоматично створюють нові мультиsig-акаунти, що містять реальних користувачів Squads як учасників. Ці фальшиві акаунти з’являються у інтерфейсі Squads.

Хитрість тонка, але ефективна

Атака не потребує помилки протоколу для роботи. Вона також не потребує ваших приватних ключів.

Їй потрібно лише, щоб ви один раз пропустили увагу. Як пояснив @multisig у пості, зловмисники також підбирають публічні ключі, що збігаються з першою та останньою літерою реальних адрес сховищ Squads. Це робить фальшивий акаунт невідрізним від справжнього з першого погляду. Мета проста: змусити користувачів скопіювати адресу сховища, що належить зловмиснику, а потім надіслати туди кошти.

Або підписати транзакцію, яку вони ніколи не створювали.

План відруєння адрес не новий. Що тут відрізняється — це мультиsig-аспект. Зловмисники не отруюють історію гаманця підробленим переказом. Вони безпосередньо вставляють фальшиві мультиsig-акаунти у список користувача, змушуючи їх здаватися належними йому.

Жодних порушень протоколу, але ризик реальний

Squads чітко окреслила масштаб загрози. Зловмисник не може виконувати транзакції, не може торкатися існуючих мультиsigів і не може переміщати кошти без дії користувача. Це, як зазначив @multisig у пості на X, «чисто спроба соціальної інженерії на рівні інтерфейсу користувача».

Це важливо. Це не хак у традиційному розумінні. Але соціальна інженерія коштує користувачам набагато більше, ніж більшість протоколів коли-небудь.

Після оголошення, Squads повідомила, що оновлення інтерфейсу будуть впроваджені протягом двох годин. Одна з таких — банер-попередження, що попереджає користувачів про атаку. Платформа також заявила, що на будь-якому мультиsig, з яким користувач раніше не взаємодіяв, з’явиться попередження. Обидва оновлення допомагають швидше відрізняти справжні акаунти від підроблених.

У довгостроковій перспективі @multisig підтвердила, що незабаром з’явиться система білого списку. Нові мультиsig-акаунти починатимуть у стані очікування і вимагатимуть ручного схвалення перед появою у списку користувача. Це фактично усуває вектор атаки на рівні інтерфейсу.

Що Squads рекомендує користувачам робити зараз

Платформа дала своїм користувачам чотири чіткі кроки. По-перше, ігноруйте та не взаємодійте з будь-яким мультиsig, який ви не створювали або до якого вас не додала ваша команда. По-друге, припиніть покладатися лише на співпадіння першої та останньої літер у адресі гаманця для її перевірки. Це саме те, на що розраховують зловмисники.

По-третє, якщо щось здається підозрілим, перевірте з командою перед підписанням будь-чого. Четверте, і найважливіше — встановіть свої справжні акаунти за замовчуванням. Це закріпить їх у верхній частині списку Squad, що полегшить виявлення підробок. Це можна зробити, натиснувши меню з трьома крапками поруч із вашим Squad.

Інструменти виявлення фальшивих адрес стають стандартною реакцією на цей тип загроз. Squads розробляє один такий інструмент безпосередньо у свій робочий процес.

Команда заявила, що продовжить публікувати оновлення на X по мірі впровадження виправлень.