Nagbabala ang Squads tungkol sa aktibong atake ng address poisoning na tumatarget sa mga gumagamit ng multisig sa Solana. Wala pang nawawalang pondo, ngunit totoo ang banta at mabilis itong lumalaganap.
Naglabas ng babala sa seguridad ang Squads, ang nangungunang multisig platform sa Solana, nitong Lunes na marahil ay hindi inaasahan ng karamihan sa mga user. Isang atake ng address poisoning ang aktibong tumatarget sa base ng mga gumagamit nito. Wala pang nawawalang pondo.
Hindi pa, sa ngayon.
Ayon sa @multisig sa X, inaabuso ng mga umaatake kung paano ini-index ng Solana ang pampublikong on-chain na data. Dahil nakikita onchain ang bawat public key at mga kaugnay na account nito, programatikong gumagawa ang mga masasamang elemento ng mga bagong multisig account na kinabibilangan ng mga tunay na user ng Squads bilang mga miyembro. Lumalabas ang mga pekeng account na iyon sa UI ng Squads.
Mapanday Ngunit Mabisa ang Panlilinlang
Hindi kailangan ng bug sa protocol para gumana ang atake. Hindi rin nito kailangan ang iyong mga pribadong key.
Ang kailangan nito ay ang iyong pagiging alerto ay magdulas, kahit isang beses lamang. Gaya ng ipinaliwanag ni @multisig sa post, ginigiling din ng mga umaatake ang mga pampublikong key na tumutugma sa una at huling mga karakter ng totoong mga address ng vault ng Squads. Dahil dito, mukhang hindi naiiba ang isang pekeng account sa isang tunay sa isang sulyap. Ang layunin ay simple: mapakopya ang mga user sa isang address ng vault na pag-aari ng umaatake, at pagkatapos ay magpadala ng pondo doon.
O mag-sign ng isang transaksyon na hindi naman nila nilikha.
Hindi bago ang address poisoning na playbook. Ang naiiba rito ay ang multisig angle. Hindi nilalason ng mga umaatake ang kasaysayan ng wallet gamit ang isang transfer na kahawig. Direkta silang nag-i-inject ng mga pekeng multisig account sa listahan ng Squad ng isang user, na nagpapatangong bahagi ito roon.
Walang Paglabag sa Protocol, Ngunit Totoo ang Panganib
Direkta ang Squads tungkol sa saklaw ng banta. Hindi maaaring mag-execute ng mga transaksyon ang umaatake, hindi maaaring hawakan ang umiiral na mga multisig, at hindi makakagalaw ng pondo nang walang aksyon mula sa user. Gaya ng sabi ni @multisig sa post sa X, ito ay “puro pagtatangka sa antas ng UI na social engineering.”
Mahalaga ang pagbibigay-kontekstong iyon. Hindi ito isang hack sa tradisyonal na diwa. Ngunit higit na naging sanhi ng pagkalugi ng mga user ang social engineering kaysa sa karamihan ng mga pag-abuso sa protocol.
Sa loob ng ilang oras pagkatapos ng anunsyo, sinabi ng Squads na ilalabas ang mga update sa UI sa loob ng dalawang oras. Isa rito ang isang warning banner na nagbababala sa mga user tungkol sa atake. Sinabi rin ng platform na lalabas ang isang alerto sa anumang multisig na hindi pa nakakapag-interact ang isang user. Kapwa ipinadala ang mga pagbabagong ito upang matulungan ang mga user na mas mabilis na makilala ang mga tunay na account mula sa mga itinurok na peke.
Sa pangmatagalan, kumpirmado ni @multisig na darating ang isang whitelist system sa loob ng mga araw. Magsisimula sa pending state ang mga bagong multisig account at mangangailangan ng manual na pag-apruba bago lumitaw sa listahan ng Squad ng isang user. Epektibong puputulin nito ang attack vector sa antas ng UI.
Ang Sinabi ng Squads na Gawin ng mga User Sa Ngayon
Nagbigay ang platform ng apat na malinaw na hakbang sa mga user nito. Una, huwag pansinin at huwag makipag-ugnayan sa anumang multisig na hindi mo nilikha o hindi ka idinagdag ng iyong team. Pangalawa, itigil ang pagtitiwala sa pagtutugma lamang ng una at huling mga karakter ng isang address ng wallet para i-verify ito. Ang partial check na iyon ang mismong inaasahan ng mga umaatake.
Pangatlo, kung may kakaiba, magkonsulta muna sa iyong team bago mag-sign ng anuman. Pang-apat, at ito ang pinilit ng Squads: itakda ang iyong mga tunay na account bilang default. Itatakda nito ang mga ito sa tuktok ng listahan ng Squad, na ginagawang mas madaling makilala ang mga impostor. Magagawa ito ng mga user sa pag-click sa three-dot menu sa tabi ng kanilang Squad.
Ang mga tool sa pagtuklas ng pekeng address ay nagiging karaniwang tugon sa uring ito ng banta. Nagbubuo ang Squads ng isa nang direkta sa workflow nito.
Sinabi ng team na magpapatuloy itong mag-post ng mga update sa X habang inilalabas ang mga pag-aayos.
Mag-iwan ng Tugon