Squads hat einen aktiven Adressvergiftungsangriff auf Solana-Multisig-Nutzer gemeldet. Bisher sind keine Gelder verloren gegangen, aber die Bedrohung ist real und wächst schnell.
Squads, die führende Multisig-Plattform auf Solana, veröffentlichte am Montag eine Sicherheitswarnung, mit der die meisten Nutzer wahrscheinlich nicht gerechnet hatten, als sie aufwachten. Ein Adressvergiftungsangriff zielt aktiv auf ihre Nutzerbasis ab. Es sind keine Gelder verloren gegangen.
Zumindest noch nicht.
Laut @multisig auf X nutzen Angreifer aus, wie Solana öffentliche On-Chain-Daten indiziert. Da jeder öffentliche Schlüssel und die dazugehörigen Konten onchain sichtbar sind, erstellen böswillige Akteure programmgesteuert neue Multisig-Konten, die echte Squads-Nutzer als Mitglieder enthalten. Diese gefälschten Konten erscheinen in der Squads-Benutzeroberfläche.
Der Trick ist subtil, aber effektiv
Der Angriff benötigt keinen Protokollfehler, um zu funktionieren. Er braucht auch nicht Ihre privaten Schlüssel.
Was er braucht, ist Ihre Unaufmerksamkeit, auch wenn es nur einmal ist. Wie @multisig in dem Beitrag erklärte, erzeugen Angreifer auch öffentliche Schlüssel, die mit den ersten und letzten Zeichen echter Squads-Tresoradressen übereinstimmen. Dadurch sieht ein gefälschtes Konto auf den ersten Blick nicht von einem echten zu unterscheiden aus. Das Ziel ist einfach: Nutzer dazu zu bringen, eine Tresoradresse des Angreifers zu kopieren und dorthin Gelder zu senden.
Oder eine Transaktion zu signieren, die sie nie erstellt haben.
Das Adressvergiftungs-Spielbuch ist nicht neu. Was hier anders ist, ist der Multisig-Aspekt. Angreifer vergiften nicht die Transaktionshistorie einer Wallet mit einer täuschend ähnlichen Überweisung. Sie injizieren gefälschte Multisig-Konten direkt in die Squads-Liste eines Nutzers, sodass sie so aussehen, als ob sie dorthin gehören.
Keine Protokollverletzung, aber das Risiko ist real
Squads war direkt hinsichtlich des Umfangs der Bedrohung. Der Angreifer kann keine Transaktionen ausführen, kann keine bestehenden Multisigs anfassen und kann ohne Nutzeraktion keine Gelder bewegen. Es ist, wie @multisig im X-Beitrag sagte, „rein ein Social-Engineering-Versuch auf UI-Ebene“.
Diese Einordnung ist wichtig. Dies ist kein Hack im herkömmlichen Sinne. Aber Social-Engineering hat Nutzern weit mehr gekostet als die meisten Protokollausnutzungen jemals.
In den Stunden nach der Ankündigung sagte Squads, dass UI-Updates innerhalb von zwei Stunden ausgeliefert würden. Ein Warnbanner, der Nutzer auf den Angriff hinweist, war eines davon. Die Plattform sagte auch, dass eine Warnung bei jedem Multisig erscheinen würde, mit dem ein Nutzer noch nie zuvor interagiert hatte. Beide Änderungen wurden vorgenommen, um Nutzern zu helfen, echte Konten schneller von injizierten Fälschungen zu unterscheiden.
Langfristig bestätigte @multisig, dass innerhalb von Tagen ein Whitelist-System kommt. Neue Multisig-Konten beginnen in einem ausstehenden Zustand und benötigen eine manuelle Genehmigung, bevor sie in der Squads-Liste eines Nutzers erscheinen. Dadurch wird der Angriffsvektor auf UI-Ebene effektiv ausgeschaltet.
Was Squads Nutzern für jetzt riet
Die Plattform gab ihren Nutzern vier klare Schritte. Erstens: Ignorieren Sie jedes Multisig, das Sie nicht erstellt haben oder zu dem Ihr Team Sie nicht hinzugefügt hat, und interagieren Sie nicht damit. Zweitens: Hören Sie auf, sich nur auf die Übereinstimmung der ersten und letzten Zeichen einer Wallet-Adresse zu verlassen, um sie zu überprüfen. Genau auf diese Teilüberprüfung setzen die Angreifer.
Drittens: Wenn etwas verdächtig aussieht, klären Sie es mit Ihrem Team, bevor Sie etwas signieren. Viertens, und das betonte Squads am meisten: Setzen Sie Ihre echten Konten als Standard. Dadurch werden sie oben in der Squads-Liste angeheftet, was Imitatoren leichter erkennbar macht. Nutzer können dies tun, indem sie auf das Dreipunktemenü neben ihrem Squad klicken.
Tools zur Erkennung gefälschter Adressen werden zu einer Standardreaktion auf diese Art von Bedrohung. Squads baut eines direkt in seinen Arbeitsablauf ein.
Das Team sagte, es werde auf X weiterhin Updates veröffentlichen, während Lösungen ausgerollt werden.
Schreibe einen Kommentar