Загінки: аварійне попередження — адресне отруєння та підробка мультипідписних акаунтів; механізм білого списку буде запущено

Мультипідписна угода Solana Squads 14 квітня на платформі X оголосила попередження: зловмисники здійснюють атаку «отруєння адрес» проти користувачів Squads. Вони створюють фальшиві облікові записи, у яких перші й останні символи збігаються з символами справжніх мультипідписних адрес, і спонукають користувачів помилково переказувати кошти на зловмисні адреси або підписувати неавторизовані транзакції. Squads підтвердила, що наразі немає доказів збитків у вигляді втрачених коштів користувачами, і заявила, що це є соціально-інженерною атакою на рівні інтерфейсу, а не вразливістю на рівні протоколу.

Розбір механізму атаки: як двошарова схема обману створює фальшиві облікові записи

Атакувальники використовують відкриті дані публічних ключів у блокчейні та розробляють подвійну архітектуру обману.

Перший шар: автоматичне додавання цільового користувача до фальшивого мультипідписного облікового запису. Атакувальники зчитують із блокчейну публічні ключі наявних користувачів Squads, програмно створюють новий мультипідписний обліковий запис, де цільовий користувач указаний як учасник. Так фальшивий обліковий запис у інтерфейсі виглядає як організація, «легально залучена» до неї користувача, знижуючи пильність цільового користувача.

Другий шар: створення «візуальних» адрес із повним збігом перших і останніх символів. Атакувальники виконують обчислення колізій адрес, щоб згенерувати публічний ключ, який повністю збігається з публічним ключем справжньої мультипідписної адреси користувача в перших і останніх символах. У поєднанні з типовою звичкою більшості користувачів перевіряти лише перші й останні символи адреси фальшивий обліковий запис має доволі високу ймовірність візуального обману.

Squads чітко зазначає, що за допомогою описаних вище методів атакувальники не можуть напряму отримати доступ або контролювати кошти користувачів; усі ризики втрат походять із дій, які самі користувачі вчиняють після того, як їх ввели в оману, а не з технічного проникнення в протокол.

Покрокові заходи протидії від Squads

Миттєве попереджувальне повідомлення: протягом двох годин після виявлення атаки — попереджувальний банер у інтерфейсі щодо атаки на підозрілі облікові записи

Попередження для облікових записів без взаємодії: додавання спеціальної позначки до мультипідписних облікових записів, з якими у користувача раніше не було жодної взаємодії, щоб зменшити ризик помилкових дій

Запуск механізму білого списку: найближчими днями буде запроваджено механізм білого списку, що дозволить користувачам чітко позначати відомі довірені мультипідписні облікові записи; система автоматично фільтруватиме невідомі облікові записи

Рекомендації щодо захисту користувачів у реальному часі: ігноруйте всі мультипідписні облікові записи, які не були створені вами, і які не були чітко додані довіреними учасниками; під час перевірки адреси слід виконувати повне посимвольне зіставлення, і ніколи не покладатися лише на візуальне співпадіння перших та останніх символів.

Ширший контекст: соціально-інженерні загрози в екосистемі Solana тривають

Ця атака з «отруєнням адрес» Squads є частиною зростаючої інтенсивності соціально-інженерних загроз безпеці в екосистемі Solana. Раніше стався інцидент із протоколом Drift, унаслідок якого було викрадено $2.85 млрд; розслідувальні організації визначили, що основною причиною стали соціально-інженерні дії, а не дефекти коду смартконтрактів. Атакувальники витратили кілька місяців, видаючи себе за легітимні торгові/транзакційні компанії, поступово завоювали довіру та отримали доступ до повноважень системи.

Фонд Solana та Asymmetric Research запустили план безпеки STRIDE, щоб забезпечити постійний моніторинг і формальну верифікацію замість традиційного одноразового аудиту, а також створити мережу реагування на інциденти Solana (SIRN) для координації негайного кризового реагування по всій мережі. Після інциденту з Drift у екосистемі мультипідписи та угоди з високою вартістю стикаються з більш суворою безпековою перевіркою; швидка модель реагування Squads слугує еталоном для кризового реагування інших протоколів в екосистемі.

Часті запитання

Що таке атака «отруєння адрес»? Чим особливий кейс Squads?

Атака «отруєння адрес» зазвичай означає, що атакувальник створює фальшиву адресу, дуже схожу на цільову, і спонукає користувача помилково виконати дію. Особливість кейсу Squads полягає в тому, що атакувальник не лише генерує «візуальні» адреси з збігом перших і останніх символів, але й автоматично додає цільового користувача до фальшивого мультипідписного облікового запису, через що фальшивий обліковий запис виглядає як легальна організація, «в якій користувач уже бере участь», роблячи рівень обману ще складнішим.

Чи існує вразливість безпеки у самому мультипідписному протоколі Squads?

Squads однозначно заперечує наявність вразливості в протоколі. Атакувальники не можуть за допомогою методу «отруєння адрес» отримати доступ до коштів користувачів у їхніх мультипідписних облікових записах, а також не можуть змінити налаштування членів у вже наявних мультипідписах. Ця атака належить до рівня соціальної інженерії на рівні інтерфейсу: вона ґрунтується на тому, що користувача вводять в оману та змушують його самому помилково виконати дії, а не на технічному вторгненні.

Як користувачам розпізнати та захиститися від таких атак «отруєння адрес»?

Ключові принципи захисту три: 1) ігноруйте всі мультипідписні облікові записи, які не були створені вами особисто або не були чітко додані довіреними учасниками; 2) під час перевірки адреси виконуйте повне посимвольне зіставлення, не покладаючись лише на візуальне співпадіння перших і останніх символів; 3) після запуску механізму білого списку Squads активним способом позначайте довірені облікові записи через білий список, підвищуючи надійність розпізнавання облікових записів.