Команды поднимают тревогу из-за схемы отравления адресов, затрагивающей пользователей мультиподписей Solana

Squads предупредила об активной атаке с отравлением адресов, нацеленой на пользователей мультисигов Solana. Пока средств не потеряно, но угроза реальна и быстро растет.

Squads, ведущая платформа мультисигов на Solana, опубликовала в понедельник предупреждение о безопасности, которое большинство пользователей, вероятно, не ожидали проснуться. Активно идет атака с отравлением адресов, нацеленная на ее базу пользователей. Пока средств не потеряно.

Пока что.

По словам @multisig в X, злоумышленники используют уязвимость в индексации публичных данных в блокчейне Solana. Поскольку каждый публичный ключ и связанные с ним аккаунты видимы в блокчейне, злоумышленники автоматически создают новые мультисиговые аккаунты, в которые включены реальные пользователи Squads в качестве участников. Эти фальшивые аккаунты отображаются в интерфейсе Squads.

Хитрость тонкая, но эффективная

Атака не требует уязвимости протокола. Ей не нужны ваши приватные ключи.

Ей нужно лишь ваше невнимание, хотя бы один раз. Как объяснил @multisig в посте, злоумышленники также перебирают публичные ключи, совпадающие по первому и последнему символу с реальными адресами хранилищ Squads. Это делает фальшивый аккаунт неотличимым от настоящего с первого взгляда. Цель проста: заставить пользователей скопировать адрес хранилища, принадлежащий злоумышленнику, и отправить туда средства.

Или подписать транзакцию, которую они никогда не создавали.

План с отравлением адресов не нов. Что здесь отличается — это мультисиговая составляющая. Злоумышленники не отравляют историю кошелька подделкой перевода. Они внедряют фальшивые мультисиговые аккаунты прямо в список Squad пользователя, делая их похожими на настоящие.

Нет нарушения протокола, но риск реален

Squads четко обозначила масштаб угрозы. Злоумышленник не может выполнять транзакции, не может трогать существующие мультисиги и не может перемещать средства без действий пользователя. Как отметил @multisig в посте в X, это «чисто попытка социальной инженерии на уровне интерфейса».

Это важно. Это не взлом в классическом понимании. Но социальная инженерия обошлась пользователям гораздо дороже, чем большинство протокольных уязвимостей.

В течение нескольких часов после объявления, Squads сообщила, что обновления интерфейса будут внедрены в течение двух часов. Одним из них был предупреждающий баннер, информирующий о атаке. Также платформа заявила, что появится оповещение на любом мультисиге, с которым пользователь ранее не взаимодействовал. Обе меры были внедрены, чтобы помочь пользователям быстрее отличать настоящие аккаунты от подделок.

В долгосрочной перспективе @multisig подтвердил, что в ближайшие дни появится система белого списка. Новые мультисиговые аккаунты начнут в статусе ожидания и потребуют ручного одобрения перед появлением в списке Squad пользователя. Это фактически исключит вектор атаки на уровне интерфейса.

Что Squads посоветовала пользователям делать прямо сейчас

Платформа дала своим пользователям четыре четких шага. Во-первых, игнорировать и не взаимодействовать с любым мультисигом, который вы не создавали или в который вас не добавила ваша команда. Во-вторых, перестать полагаться только на совпадение первых и последних символов адреса кошелька для его проверки. Этот частичный критерий именно на что рассчитывают злоумышленники.

В-третьих, если что-то кажется подозрительным, проконсультируйтесь с командой перед подписанием чего-либо. В-четвертых, и это самое важное, установите свои настоящие аккаунты по умолчанию. Это закрепит их вверху списка Squad, что упростит обнаружение подделок. Сделать это можно, нажав на меню с тремя точками рядом с вашим Squad.

Инструменты обнаружения фальшивых адресов становятся стандартным ответом на подобные угрозы. Squads разрабатывает такой инструмент прямо в свой рабочий процесс.

Команда заявила, что продолжит публиковать обновления в X по мере внедрения исправлений.