Los escuadrones alertan sobre un esquema de envenenamiento de direcciones que afecta a los usuarios de firmas múltiples en Solana

Squads ha detectado un ataque activo de envenenamiento de direcciones dirigido a usuarios de multisig en Solana. Aún no se han perdido fondos, pero la amenaza es real y crece rápidamente.

Squads, la plataforma multisig líder en Solana, hizo público el lunes una advertencia de seguridad que la mayoría de los usuarios probablemente no esperaban despertar. Un ataque de envenenamiento de direcciones está atacando activamente a su base de usuarios. No se han perdido fondos.

Al menos, todavía no.

Según @multisig en X, los atacantes están explotando cómo Solana indexa los datos públicos en la cadena. Debido a que cada clave pública y sus cuentas asociadas son visibles en la cadena, los actores maliciosos están creando programáticamente nuevas cuentas multisig que incluyen a usuarios reales de Squads como miembros. Esas cuentas falsas aparecen en la interfaz de usuario de Squads.

El truco es sutil pero efectivo

El ataque no necesita un fallo en el protocolo para funcionar. Tampoco necesita tus claves privadas.

Lo que necesita es que tu atención se desvíe, solo una vez. Como explicó @multisig en la publicación, los atacantes también están generando claves públicas que coinciden con el primer y último carácter de las direcciones de bóveda reales de Squads. Eso hace que una cuenta falsa parezca indistinguible de una real a simple vista. El objetivo es simple: que los usuarios copien una dirección de bóveda que pertenece al atacante, y luego envíen fondos allí.

O firmen una transacción que nunca crearon.

El manual de envenenamiento de direcciones no es nuevo. Lo que es diferente aquí es el enfoque multisig. Los atacantes no están envenenando un historial de billetera con una transferencia similar. Están insertando cuentas multisig falsas directamente en la lista de Squads de un usuario, haciendo que parezcan que pertenecen allí.

No hay una brecha en el protocolo, pero el riesgo es real

Squads fue claro sobre el alcance de la amenaza. El atacante no puede ejecutar transacciones, no puede tocar los multisigs existentes y no puede mover fondos sin acción del usuario. Es, como dijo @multisig en la publicación de X, “puramente un intento de ingeniería social a nivel de interfaz de usuario.”

Ese marco importa. Esto no es un hack en el sentido tradicional. Pero la ingeniería social ha costado a los usuarios mucho más que la mayoría de los exploits en protocolos.

En las horas posteriores al anuncio, Squads dijo que las actualizaciones de la interfaz se estaban enviando en dos horas. Una advertencia en la interfaz alertando a los usuarios sobre el ataque fue una de ellas. La plataforma también dijo que aparecería una alerta en cualquier multisig con el que un usuario nunca hubiera interactuado antes. Ambos cambios se implementaron para ayudar a los usuarios a distinguir más rápidamente las cuentas reales de las falsas inyectadas.

A largo plazo, @multisig confirmó que en unos días llegará un sistema de lista blanca. Las nuevas cuentas multisig comenzarán en un estado pendiente y requerirán aprobación manual antes de aparecer en la lista de Squads de un usuario. Eso elimina efectivamente el vector de ataque a nivel de interfaz de usuario.

Qué dijo Squads a los usuarios que deben hacer ahora mismo

La plataforma dio a sus usuarios cuatro pasos claros. Primero, ignorar y no interactuar con ningún multisig que no hayas creado o en el que no te hayan añadido tu equipo. Segundo, dejar de confiar solo en que coincidan el primer y último carácter de una dirección de billetera para verificarla. Esa verificación parcial es exactamente en lo que cuentan los atacantes.

Tercero, si algo parece extraño, consultar con tu equipo antes de firmar cualquier cosa. Cuarto, y el que Squads promovió con más énfasis: establecer tus cuentas reales como predeterminadas. Eso las coloca en la parte superior de la lista de Squads, facilitando la detección de impostores. Los usuarios pueden hacer esto haciendo clic en el menú de tres puntos junto a su Squad.

Las herramientas para detectar direcciones falsas se están convirtiendo en una respuesta estándar a esta categoría de amenaza. Squads está desarrollando una directamente en su flujo de trabajo.

El equipo dijo que continuará publicando actualizaciones en X a medida que se implementen las correcciones.