Squads 警告地址中毒方案攻擊 Solana 多重簽名用戶

Squads 已標記一個針對 Solana 多簽用戶的活躍地址中毒攻擊。尚未損失資金，但威脅是真實且快速增長的。

Squads，Solana 上領先的多簽平台，週一公開發出安全警告，這是大多數用戶可能沒預料到會醒來看到的。一個地址中毒攻擊正積極針對其用戶群。尚未有資金損失。

至少目前還沒有。

根據 @multisig 在 X（前 Twitter）上的說法，攻擊者正在利用 Solana 如何索引公開鏈上數據的方式。由於每個公開金鑰及其相關帳戶都在鏈上可見，壞人正程式化地建立新的多簽帳戶，這些帳戶將真正的 Squads 用戶列為成員。這些假帳戶會出現在 Squads 的用戶界面中。

技巧微妙但有效

這次攻擊不需要協議漏洞來運作，也不需要你的私鑰。

它只需要你的一次疏忽。正如 @multisig 在貼文中解釋的，攻擊者也在篩選與真正 Squads 保險庫地址的第一個和最後一個字符相符的公開金鑰。這讓假帳戶在一眼之下看起來與真實帳戶無異。目標很簡單：讓用戶複製一個屬於攻擊者的保險庫地址，然後將資金轉送到那裡。

或者簽署一個他們從未創建的交易。

地址中毒的玩法並不新穎。不同之處在於多簽的角度。攻擊者不是用類似的轉帳污染錢包歷史記錄，而是直接將假多簽帳戶注入用戶的 Squad 列表，使它們看起來像是屬於用戶的。

沒有協議漏洞，但風險是真實存在的

Squads 明確說明了威脅的範圍。攻擊者不能執行交易，不能觸及現有的多簽，也不能在沒有用戶操作的情況下移動資金。正如 @multisig 在 X 貼文中所說，這“純粹是一個 UI 層級的社交工程攻擊”。

這個說法很重要。這不是傳統意義上的駭客攻擊。但社交工程已經讓用戶付出了比大多數協議漏洞更高的代價。

在公告發布的幾個小時內，Squads 表示 UI 更新將在兩小時內完成。其中一項更新是警告橫幅，提醒用戶注意此攻擊。平台還表示，任何用戶從未互動過的多簽帳戶都會顯示警示。這些變更旨在幫助用戶更快地辨識真實帳戶與注入的假帳戶。

長遠來看，@multisig 確認幾天內將推出白名單系統。新的多簽帳戶將以待審狀態開始，並在出現在用戶的 Squad 列表前需要手動批准。這在 UI 層面有效切斷了攻擊向量。

Squads 現在建議用戶採取的措施

平台給用戶提供了四個明確步驟。第一，忽略並且不要與任何你未創建或未被你的團隊加入的多簽互動。第二，不要僅憑匹配錢包地址的第一和最後字符來驗證地址。這種部分驗證正是攻擊者所依賴的。

第三，如果有任何異常，請先與你的團隊確認再簽署任何交易。第四，也是 Squads 最強調的一點：將你的真實帳戶設為預設。這樣可以將它們固定在 Squad 列表的頂端，更容易辨識冒名者。用戶可以點擊 Squad 旁邊的三點菜單來設置。

假地址檢測工具正逐漸成為應對此類威脅的標準措施。Squads 正在將此工具直接整合到其工作流程中。

團隊表示，隨著修復措施的推出，將持續在 X 上發布更新。