Solana 生態多簽協議 Squads a émis un avertissement sur la plateforme X le 14 avril. Les attaquants visent les utilisateurs de Squads avec une attaque d’empoisonnement d’adresse : en créant de faux comptes dont les caractères de début et de fin des adresses multisi gatures correspondent à ceux d’adresses réelles et authentiques, ils incitent les utilisateurs à transférer des fonds vers une adresse malveillante ou à signer une transaction non autorisée. Squads confirme qu’il n’existe aucune preuve de pertes de fonds côté utilisateurs et indique qu’il s’agit d’une attaque d’ingénierie sociale au niveau de l’interface, et non d’une faille de sécurité au niveau du protocole.
Décryptage du mécanisme d’attaque : comment une structure de tromperie à deux niveaux fabrique de faux comptes
Les attaquants utilisent les données de clés publiques, rendues publiques sur la blockchain, pour concevoir une architecture de tromperie en double.
Premier niveau : ajouter automatiquement l’utilisateur cible à un compte multisig forgé. Les attaquants lisent depuis la chaîne les clés publiques des utilisateurs Squads existants, et créent de façon programmée un nouveau compte multisig dont le membre cible est ajouté. Ainsi, le faux compte semble dans l’interface comme une organisation où l’utilisateur cible « participe légalement », ce qui réduit la vigilance de la victime.
Deuxième niveau : générer des adresses “prestige” dont le début et la fin entrent en collision exactement avec ceux de l’adresse réelle. Les attaquants effectuent un calcul de collision d’adresse afin de générer une clé publique dont les caractères de début et de fin sont parfaitement identiques à ceux de l’adresse multisig réelle de l’utilisateur. En combinant avec la habitude de la majorité des utilisateurs qui ne vérifient que les caractères de début et de fin, le faux compte obtient un taux de réussite de tromperie visuelle relativement élevé.
Squads déclare clairement que, via les méthodes ci-dessus, les attaquants ne peuvent pas accéder directement ni contrôler les fonds des utilisateurs. Tous les risques de perte proviennent des actions effectuées volontairement par l’utilisateur une fois trompé, et non d’une intrusion du protocole au niveau technique.
Les mesures de réponse par étapes de Squads
Bannière d’alerte immédiate : dans les deux heures suivant la détection de l’attaque, afficher dans l’interface une bannière d’avertissement d’attaque visant les comptes suspects
Alerte de compte non interactif : ajouter des indicateurs d’avertissement dédiés aux comptes multisig n’ayant jamais eu d’historique d’interaction avec l’utilisateur, afin de réduire le risque d’erreur de manipulation
Mise en ligne du mécanisme de liste blanche : dans les prochains jours, lancer un mécanisme de liste blanche permettant aux utilisateurs de marquer clairement les comptes multisig connus et de confiance ; le système filtrera automatiquement les comptes inconnus
Recommandations de protection immédiate de l’utilisateur : ignorer tous les comptes multisig qui n’ont pas été créés par vous-même et qui n’ont pas été explicitement ajoutés par des membres de confiance ; lors de la vérification d’une adresse, effectuer une comparaison complète caractère par caractère, sans se fier uniquement à une correspondance visuelle basée sur les caractères de début et de fin.
Contexte plus large : la menace d’ingénierie sociale dans l’écosystème Solana continue de s’intensifier
L’attaque d’empoisonnement d’adresse menée contre Squads fait partie d’une montée récente des menaces de cybersécurité par ingénierie sociale dans l’écosystème Solana. Auparavant, l’affaire de vol de 285 millions de dollars subie par le protocole Drift a été attribuée par les organismes d’enquête principalement à l’ingénierie sociale plutôt qu’à des défauts de code des smart contracts : les attaquants ont dépensé plusieurs mois en se faisant passer pour des sociétés de transactions légitimes, ont gagné progressivement la confiance et ont fini par obtenir des droits d’accès aux systèmes.
La Solana Foundation et Asymmetric Research ont lancé le plan de sécurité STRIDE afin d’assurer une surveillance continue et de remplacer les audits ponctuels traditionnels par des vérifications formelles, ainsi que de mettre en place un réseau de réponse aux incidents de Solana (SIRN) pour coordonner la gestion des crises en temps réel sur l’ensemble du réseau. Après l’affaire Drift, les multisig et les protocoles à forte valeur de l’écosystème font l’objet d’un examen de sécurité plus strict. Le modèle de réponse rapide de Squads fournit un modèle de référence pour la gestion des crises pour les autres protocoles de l’écosystème.
Questions fréquentes
Qu’est-ce qu’une attaque d’empoisonnement d’adresse ? En quoi le cas Squads est-il particulier ?
Une attaque d’empoisonnement d’adresse désigne généralement le fait pour un attaquant de créer une fausse adresse très similaire à l’adresse cible, afin d’amener les utilisateurs à commettre une erreur de manipulation. La particularité du cas Squads réside dans le fait que l’attaquant ne se contente pas de générer des adresses “prestige” dont les caractères de début et de fin entrent en collision : il ajoute aussi automatiquement l’utilisateur cible au compte multisig forgé, ce qui fait apparaître le faux compte comme une organisation légitime où l’utilisateur « y a déjà participé ». La couche de tromperie est donc plus complexe.
Le protocole multisig de Squads lui-même présente-t-il une faille de sécurité ?
Squads nie de manière explicite l’existence d’une faille de protocole. L’attaquant ne peut pas accéder aux fonds du compte multisig des utilisateurs existants via la technique d’empoisonnement d’adresse, et ne peut pas modifier les paramètres des membres déjà configurés du multisig. Cette attaque relève de l’ingénierie sociale au niveau de l’interface : elle repose sur le fait de tromper l’utilisateur pour qu’il commette des erreurs de manipulation de son propre chef, plutôt que sur une intrusion technique.
Comment les utilisateurs peuvent-ils identifier et se prémunir contre ce type d’attaque d’empoisonnement d’adresse ?
Il existe trois principes clés de protection : d’abord, ignorer tous les comptes multisig qui n’ont pas été créés par vous-même ou qui n’ont pas été ajoutés explicitement par des membres de confiance ; ensuite, effectuer une comparaison complète caractère par caractère lors de la vérification d’une adresse, sans se fier uniquement à une correspondance visuelle basée sur les caractères de début et de fin ; enfin, une fois que le mécanisme de liste blanche de Squads sera en ligne, marquer activement les comptes de confiance via la liste blanche pour améliorer la fiabilité de l’identification des comptes.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le CPO de Solana, Vibhu, achète $10K XRP pour démontrer le potentiel de wXRP alors que la liquidité atteint $1M en 24 heures
Le directeur produit en chef de Solana a acheté pour 10 000 $ en XRP afin de mettre en avant l’utilité de wXRP, générant $1 million de liquidité en 24 heures. Cela souligne l’interopérabilité croissante dans la DeFi et signale un changement dans les flux de liquidité à mesure que les écosystèmes se rapprochent.
GateNewsIl y a 41m
Grand vendeur de SOL Short ouvre une position longue avec levier $18M sur le Brent Oil sur Hyperliquid
Message de Gate News : le plus grand détenteur de positions short sur SOL en chaîne a ouvert une position longue sur le pétrole. Au cours des 10 dernières heures, le trader a déposé 9 millions USDC sur Hyperliquid et a ouvert une position longue avec un levier de 3x sur 200,687 BRENTOIL, évaluée à 18,08 millions de dollars. Le trader continue de conserver une
GateNewsIl y a 5h
Solana prend désormais en charge WXRP, permettant aux détenteurs de XRP d’accéder à la DeFi de Solana
Solana a introduit WXRP, un jeton ponté équivalent à XRP, le 18 avril. Émis par Hex Trust et pris en charge par LayerZero, WXRP permet aux détenteurs de XRP de participer à l’écosystème DeFi de Solana tout en conservant leurs actifs d’origine. Il est adossé 1:1 par XRP et peut être racheté à tout moment.
GateNewsIl y a 9h
Le prix de Solana stagne près de $80 , tandis que les sorties de fonds des ETF pèsent sur le marché
Les transactions sur Solana se situent autour de $80, avec un sentiment baissier en raison des sorties de fonds liées aux ETF et de la baisse de la participation des investisseurs particuliers. Les indicateurs techniques affichent des signaux mitigés, avec une résistance à $87 et à $98, tandis que le support à $77 reste essentiel pour la stabilité.
CryptoFrontNews04-18 22:37
L’adoption de Solana grimpe à 167 M tandis que l’utilisation et le prix divergent
Points clés
Solana a atteint 167 millions de détenteurs, ce qui signale une forte croissance de l’adoption même si le nombre d’adresses actives a diminué, montrant un écart grandissant entre les tendances d’appropriation et d’utilisation.
L’intérêt institutionnel a augmenté après que DeFi Development Corp a accumulé plus de 2,22 millions de SOL, renforçant une perspective à long terme c
CryptoNewsLand04-18 09:10
La banque Gulf de Singapour lance un service de stablecoins sans frais sur Solana pour les clients institutionnels
La banque Gulf de Singapour a lancé un service de conversion de stablecoins pour les clients institutionnels et les personnes fortunées, permettant des transactions fiat vers stablecoins sans frais sur le réseau Solana. Le service prend en charge plusieurs blockchains et améliore la gestion de la liquidité.
GateNews04-17 21:02
