Squads heeft een actieve adresvergiftigingsaanval gericht op Solana multisig-gebruikers gesignaleerd. Er zijn nog geen geldmiddelen verloren gegaan, maar de dreiging is reëel en groeit snel.
Squads, het toonaangevende multisig-platform op Solana, kwam maandag naar buiten met een beveiligingswaarschuwing waar de meeste gebruikers waarschijnlijk niet op hadden gerekend bij het wakker worden. Een adresvergiftigingsaanval richt zich actief op zijn gebruikersbasis. Er zijn nog geen geldmiddelen verloren gegaan.
Nog niet, in ieder geval.
Volgens @multisig op X, misbruiken aanvallers de manier waarop Solana openbare on-chain data indexeert. Omdat elke publieke sleutel en de bijbehorende accounts zichtbaar zijn on-chain, creëren kwaadwillenden programmatisch nieuwe multisig-accounts die echte Squads-gebruikers als leden bevatten. Die nepaccounts verschijnen in de Squads-gebruikersinterface.
De Truc Is Subtiel Maar Effectief
De aanval heeft geen protocolbug nodig om te werken. Hij heeft ook jouw privésleutels niet nodig.
Wat hij nodig heeft, is dat jouw aandacht één keer verslapt. Zoals @multisig in het bericht uitlegde, genereren aanvallers ook publieke sleutels die overeenkomen met de eerste en laatste tekens van echte Squads-kluisadressen. Hierdoor ziet een nepaccount er op het eerste gezicht niet van een echt account te onderscheiden uit. Het doel is simpel: gebruikers ertoe brengen een kluisadres te kopiëren dat van de aanvaller is, en daar vervolgens geldmiddelen naartoe te sturen.
Of een transactie te ondertekenen die ze nooit hebben aangemaakt.
Het adresvergiftiging draaiboek is niet nieuw. Wat hier anders is, is de multisig-invalshoek. Aanvallers vergiftigen niet een walletgeschiedenis met een op een overdracht lijkende transactie. Ze injecteren nep-multisig-accounts rechtstreeks in de Squad-lijst van een gebruiker, waardoor het lijkt alsof ze daar thuishoren.
Geen Protocolbreuk, Maar Het Risico Is Reëel
Squads was duidelijk over de omvang van de dreiging. De aanvaller kan geen transacties uitvoeren, kan geen bestaande multisigs aanraken en kan geen geldmiddelen verplaatsen zonder actie van de gebruiker. Het is, zoals @multisig het in het X-bericht stelde, “puur een poging tot sociale manipulatie op UI-niveau.”
Die formulering is belangrijk. Dit is geen hack in de traditionele zin. Maar sociale manipulatie heeft gebruikers veel meer gekost dan de meeste protocolexploits ooit hebben gedaan.
In de uren na de aankondiging zei Squads dat UI-updates binnen twee uur zouden worden uitgerold. Een waarschuwingsbanner die gebruikers op de hoogte stelt van de aanval was een daarvan. Het platform zei ook dat er een waarschuwing zou verschijnen bij elke multisig waarmee een gebruiker nog nooit eerder had geïnteracteerd. Beide veranderingen werden ingevoerd om gebruikers sneller echte accounts van geïnjecteerde neppe te laten onderscheiden.
Op de langere termijn bevestigde @multisig dat er binnen enkele dagen een whitelist-systeem komt. Nieuwe multisig-accounts zullen in een afwachttende status starten en handmatige goedkeuring vereisen voordat ze in de Squad-lijst van een gebruiker verschijnen. Dat snijdt het aanvalsvector effectief af op UI-niveau.
Wat Squads Gebruikers Opdroeg Om Direct Te Doen
Het platform gaf zijn gebruikers vier duidelijke stappen. Ten eerste: negeer en ga niet om met een multisig die je niet hebt aangemaakt of waar je niet door je team aan bent toegevoegd. Ten tweede: stop met vertrouwen op het alleen matchen van de eerste en laatste tekens van een walletadres om het te verifiëren. Die gedeeltelijke controle is precies waar aanvallers op rekenen.
Ten derde: als iets er niet pluis uitziet, overleg dan met je team voordat je iets ondertekent. Ten vierde, en degene die Squads het meest benadrukte: stel je echte accounts in als standaard. Dit zet ze vast bovenaan de Squad-lijst, waardoor oplichters gemakkelijker te spotten zijn. Gebruikers kunnen dit doen door te klikken op het menu met drie puntjes naast hun Squad.
Tools voor het detecteren van nepadressen worden een standaardreactie op dit soort dreigingen. Squads bouwt er een rechtstreeks in zijn workflow.
Het team zei dat het updates op X zal blijven plaatsen naarmate er oplossingen worden uitgerold.
Geef een reactie