Squads Срочное предупреждение: отравление адресов, поддельные многосторонние учетные записи с подписями — механизм белого списка будет запущен

Солана, мультиподписной протокол Squads, 14 апреля на платформе X выпустила предупреждение: было обнаружено, что злоумышленники осуществляют адресное отравление пользователей Squads. Атака заключается в том, что злоумышленники создают поддельные аккаунты с поддельными мультиподписными адресами, у которых первые и последние символы совпадают с таковыми у реальных мультиподписных адресов. Это побуждает пользователей ошибочно переводить средства на вредоносный адрес или подписывать несанкционированные транзакции. Squads подтвердила, что нет доказательств потери средств пользователей, и заявила, что это атака социальной инженерии на уровне интерфейса, а не уязвимость системы безопасности на уровне протокола.

Разбор механизма атаки: как структура двойного обмана создает фейковые аккаунты

Злоумышленники используют открытые данные публичных ключей в блокчейне и разрабатывают набор механик двойного обмана.

Первый уровень: автоматическое добавление целевого пользователя в поддельный мультиподписной аккаунт. Злоумышленники считывают с цепочки публичные ключи существующих пользователей Squads и с помощью программирования создают новый мультиподписной аккаунт, где целевой пользователь указан в качестве члена. В результате поддельный аккаунт в интерфейсе выглядит как организация, в которой целевой пользователь «официально участвует», что снижает настороженность пользователя.

Второй уровень: генерация «престижных» адресов с совпадающими первыми и последними символами. Злоумышленники выполняют вычисления коллизии адресов и генерируют публичный ключ, у которого первые и последние символы полностью совпадают с таковыми у реального мультиподписного адреса пользователя. В сочетании с тем, что большинство пользователей обычно проверяют адрес только по первым и последним символам, поддельный аккаунт обладает довольно высокой вероятностью успешного визуального обмана.

Squads ясно заявила, что с помощью описанных выше методов злоумышленники не могут напрямую получить доступ к средствам пользователей или управлять ими. Все риски потерь возникают из-за действий, которые пользователь выполняет самостоятельно после того, как его обманули, а не из-за технического взлома протокола.

Пошаговые меры реагирования Squads

Срочная предупреждающая плашка: в течение 2 часов после обнаружения атаки — плашка с предупреждением об атаке для подозрительных аккаунтов, размещаемая в интерфейсе

Оповещение для аккаунтов без взаимодействия: добавление отдельного предупреждающего сообщения к мультиподписным аккаунтам, с которыми у пользователя никогда не было записей о взаимодействии, чтобы снизить риск ошибочных действий

Запуск механизма белого списка: в ближайшие несколько дней будет запущен механизм белого списка, который позволит пользователям явно отмечать известные и заслуживающие доверия мультиподписные аккаунты; система будет автоматически фильтровать неизвестные аккаунты

Рекомендации по защите пользователей в реальном времени: игнорируйте все мультиподписные аккаунты, которые не были созданы вами лично и не были явно добавлены в состав доверенными участниками; при верификации адреса выполняйте полное посимвольное сравнение, и ни в коем случае не полагайтесь только на визуальное совпадение первых и последних символов.

Более широкий контекст: угроза социальной инженерии в экосистеме Solana продолжает усиливаться

Эта атака с отравлением адресов Squads является частью более масштабной тенденции усиления угроз безопасности социальной инженерии в экосистеме Solana. Ранее произошла кража средств в размере 2,85 млрд долларов США по протоколу Drift. Следственные организации пришли к выводу, что основная причина — социальная инженерия, а не дефекты кода смарт-контрактов: злоумышленники в течение нескольких месяцев выдавали себя за легитимные компании по сделкам, постепенно завоевывали доверие и получали доступ к полномочиям на обращение к системам.

Фонд Solana и Asymmetric Research уже запустили план безопасности STRIDE, чтобы постоянно осуществлять мониторинг и формальную верификацию вместо традиционных разовых аудитов, а также создать сеть реагирования на инциденты Solana (SIRN) для координации немедленного кризисного реагирования по всей сети. После инцидента Drift мультиподписные кошельки и протоколы с высокой ценностью в экосистеме сталкиваются с более строгой проверкой безопасности; быстрая модель реагирования Squads служит шаблоном реагирования на кризис для других протоколов экосистемы.

Часто задаваемые вопросы

Что такое адресная атака с отравлением? Чем особенный случай Squads отличается от других?

Как правило, адресная атака с отравлением означает, что злоумышленник создает поддельный адрес, который очень похож на адрес-цель, и побуждает пользователей совершить ошибочное действие. Особенность кейса Squads в том, что злоумышленники не только генерируют «престижный» адрес с совпадающими первыми и последними символами, но и автоматически добавляют целевого пользователя в поддельный мультиподписной аккаунт, из-за чего поддельный аккаунт выглядит как легитимная организация, в которой пользователь «уже участвует». Уровень обмана при этом становится еще сложнее.

Есть ли у самого мультиподписного протокола Squads уязвимости безопасности?

Squads однозначно отрицает наличие уязвимостей в протоколе. Злоумышленники не могут с помощью приема с отравлением адресов получить доступ к средствам мультиподписных аккаунтов существующих пользователей и также не могут изменить настройки участников уже существующих мультиподписных аккаунтов. Эта атака относится к атакам социальной инженерии на уровне интерфейса: она опирается на то, что пользователей обманывают и они по ошибке выполняют действия, а не на техническое проникновение.

Как пользователи могут распознавать и предотвращать такие атаки с отравлением адресов?

Ключевой принцип защиты включает три пункта: во-первых, игнорировать все мультиподписные аккаунты, которые не были созданы вами лично или не были явно добавлены доверенными участниками; во-вторых, при проверке адреса выполнять полное посимвольное сравнение, ни в коем случае не полагаться только на визуальное совпадение первых и последних символов; в-третьих, после запуска механизма белого списка Squads отмечать надежные аккаунты заранее с помощью белого списка, чтобы повысить надежность распознавания аккаунтов.