Squads a signalé une attaque active d’empoisonnement d’adresses ciblant les utilisateurs de multisignatures Solana. Aucun fonds n’a été perdu pour l’instant, mais la menace est bien réelle et grandit rapidement.
Squads, la principale plateforme de multisignature sur Solana, a rendu publique lundi une alerte de sécurité à laquelle la plupart des utilisateurs ne s’attendaient probablement pas au réveil. Une attaque d’empoisonnement d’adresses cible activement sa base d’utilisateurs. Aucun fonds n’a été perdu.
Du moins, pas encore.
Selon @multisig sur X, les attaquants exploitent la façon dont Solana indexe les données publiques sur la chaîne. Comme chaque clé publique et ses comptes associés sont visibles sur la chaîne, des acteurs malveillants créent programmatiquement de nouveaux comptes multisignatures qui incluent de vrais utilisateurs de Squads comme membres. Ces faux comptes apparaissent dans l’interface utilisateur de Squads.
L’arnaque est subtile mais efficace
L’attaque n’a pas besoin d’un bug dans le protocole pour fonctionner. Elle n’a pas non plus besoin de vos clés privées.
Ce dont elle a besoin, c’est que votre attention flanche, une seule fois. Comme @multisig l’a expliqué dans le post, les attaquants génèrent également des clés publiques qui correspondent aux premiers et derniers caractères des adresses réelles des coffres-forts Squads. Cela rend un faux compte visuellement indiscernable d’un vrai à première vue. L’objectif est simple : amener les utilisateurs à copier une adresse de coffre-fort appartenant à l’attaquant, puis à y envoyer des fonds.
Ou à signer une transaction qu’ils n’ont jamais créée.
Le modus operandi de l’empoisonnement d’adresses n’est pas nouveau. Ce qui est différent ici, c’est l’angle de la multisignature. Les attaquants n’empoisonnent pas l’historique d’un portefeuille avec un transfert similaire. Ils injectent directement de faux comptes multisignatures dans la liste Squads d’un utilisateur, donnant l’impression qu’ils y appartiennent.
Aucune brèche protocolaire, mais le risque est bien réel
Squads a été direct sur la portée de la menace. L’attaquant ne peut pas exécuter de transactions, ne peut pas toucher aux multisignatures existantes et ne peut pas déplacer de fonds sans une action de l’utilisateur. C’est, comme @multisig l’a formulé dans le post sur X, « purement une tentative d’ingénierie sociale au niveau de l’interface utilisateur. »
Cette précision est importante. Il ne s’agit pas d’un piratage au sens traditionnel. Mais l’ingénierie sociale a coûté bien plus aux utilisateurs que la plupart des exploits de protocole.
Dans les heures suivant l’annonce, Squads a déclaré que des mises à jour de l’interface utilisateur seraient déployées dans les deux heures. Une bannière d’avertissement alertant les utilisateurs de l’attaque en faisait partie. La plateforme a également indiqué qu’une alerte apparaîtrait sur toute multisignature avec laquelle un utilisateur n’avait jamais interagi auparavant. Ces deux changements ont été envoyés pour aider les utilisateurs à distinguer plus rapidement les vrais comptes des faux injectés.
À plus long terme, @multisig a confirmé qu’un système de liste blanche arrivera dans les prochains jours. Les nouveaux comptes multisignatures démarreront dans un état « en attente » et nécessiteront une approbation manuelle avant d’apparaître dans la liste Squads d’un utilisateur. Cela coupe efficacement le vecteur d’attaque au niveau de l’interface.
Les conseils de Squads à ses utilisateurs pour l’instant
La plateforme a donné quatre étapes claires à ses utilisateurs. Premièrement, ignorez et n’interagissez pas avec toute multisignature que vous n’avez pas créée ou à laquelle votre équipe ne vous a pas ajouté. Deuxièmement, arrêtez de vous fier uniquement à la correspondance des premiers et derniers caractères d’une adresse de portefeuille pour la vérifier. Cette vérification partielle est exactement ce sur quoi comptent les attaquants.
Troisièmement, si quelque chose semble suspect, vérifiez avec votre équipe avant de signer quoi que ce soit. Quatrièmement, et c’est le point sur lequel Squads a le plus insisté : définissez vos vrais comptes par défaut. Cela les épingle en haut de la liste Squads, rendant les imposteurs plus faciles à repérer. Les utilisateurs peuvent le faire en cliquant sur le menu à trois points à côté de leur Squad.
Les outils de détection de fausses adresses deviennent une réponse standard à cette catégorie de menace. Squads en intègre un directement dans son flux de travail.
L’équipe a déclaré qu’elle continuera à publier des mises à jour sur X au fur et à mesure du déploiement des correctifs.
Laisser un commentaire