Cảnh báo khẩn cấp của Squads: đầu độc và giả mạo địa chỉ, tài khoản đa chữ ký trong danh sách trắng sẽ được triển khai

Solana 生 thái giao thức đa chữ ký Squads vào ngày 14 tháng 4 đã đưa ra cảnh báo trên nền tảng X, phát hiện kẻ tấn công thực hiện một cuộc tấn công “đầu độc địa chỉ” nhắm vào người dùng của Squads. Kẻ tấn công tạo các tài khoản giả bằng cách giả mạo và khớp các ký tự ở đầu-cuối của địa chỉ đa chữ ký thật và giả, nhằm dụ người dùng chuyển tiền hoặc ký các giao dịch không được ủy quyền đến địa chỉ độc hại. Squads xác nhận hiện chưa có bằng chứng cho thấy tài chính của người dùng bị tổn hại, và cho biết đây là một cuộc tấn công kỹ thuật xã hội ở lớp giao diện, chứ không phải lỗ hổng bảo mật ở lớp giao thức.

Phân tích cơ chế tấn công: Cấu trúc lừa gạt hai lớp tạo ra tài khoản giả như thế nào

Kẻ tấn công tận dụng dữ liệu khóa công khai được công khai trên blockchain để thiết kế một kiến trúc lừa gạt hai tầng.

Lớp một: Tự động thêm người dùng mục tiêu vào tài khoản đa chữ ký giả. Kẻ tấn công đọc từ chuỗi các khóa công khai của người dùng Squads hiện có, lập trình tạo một tài khoản đa chữ ký mới có người dùng mục tiêu là thành viên, khiến tài khoản giả trông giống như một tổ chức “hợp lệ” mà người dùng mục tiêu “đã tham gia”, qua đó giảm cảnh giác của mục tiêu.

Lớp hai: Tạo địa chỉ “hào nhoáng” có ký tự đầu-cuối khớp nhau. Kẻ tấn công thực hiện phép toán va chạm địa chỉ để tạo ra một khóa công khai có các ký tự ở đầu và cuối hoàn toàn giống với địa chỉ đa chữ ký thật của người dùng. Kết hợp với thói quen mà phần lớn người dùng chỉ kiểm tra các ký tự đầu-cuối, tài khoản giả có tỷ lệ thành công lừa gạt bằng cảm quan khá cao.

Squads nêu rõ ràng rằng, với các phương pháp nêu trên, kẻ tấn công không thể truy cập hoặc kiểm soát trực tiếp tài chính của người dùng; mọi rủi ro mất mát đều xuất phát từ các thao tác chủ động của người dùng sau khi bị lừa, chứ không phải từ việc xâm nhập giao thức ở khía cạnh kỹ thuật.

Các biện pháp ứng phó theo từng giai đoạn của Squads

Dải cảnh báo tức thời: Trong vòng hai giờ sau khi phát hiện tấn công, hiển thị dải cảnh báo về hành vi tấn công nhắm vào các tài khoản đáng ngờ trên giao diện

Cảnh báo tài khoản không tương tác: Thêm nhắc nhở cảnh báo riêng cho các tài khoản đa chữ ký chưa từng có bất kỳ lịch sử tương tác nào với người dùng, nhằm giảm rủi ro thao tác nhầm

Ra mắt cơ chế danh sách trắng: Trong vài ngày tới sẽ triển khai cơ chế danh sách trắng, cho phép người dùng gắn nhãn rõ ràng các tài khoản đa chữ ký đã biết là đáng tin cậy; hệ thống tự động lọc các tài khoản chưa biết

Khuyến nghị bảo vệ người dùng theo thời gian thực: Bỏ qua tất cả các tài khoản đa chữ ký không phải do chính bạn tạo và cũng không được các thành viên được tin cậy rõ ràng thêm vào; khi xác minh địa chỉ hãy thực hiện đối chiếu đầy đủ từng ký tự, tuyệt đối không chỉ dựa vào sự khớp bằng mắt của các ký tự đầu-cuối.

Bối cảnh rộng hơn: Mối đe dọa kỹ thuật xã hội trong hệ sinh thái Solana tiếp tục leo thang

Cuộc tấn công đầu độc địa chỉ lần này của Squads là một phần trong việc các mối đe dọa bảo mật kỹ thuật xã hội trong hệ sinh thái Solana gần đây gia tăng. Trước đó đã xảy ra sự kiện Drift bị đánh cắp 285 triệu đô la, và các tổ chức điều tra xác định nguyên nhân chính là do kỹ thuật xã hội chứ không phải do lỗ hổng trong mã hợp đồng thông minh. Kẻ tấn công đã tốn nhiều tháng giả mạo các công ty giao dịch hợp pháp, từng bước giành được niềm tin và tiếp cận quyền truy cập vào hệ thống.

Quỹ Solana cùng Asymmetric Research đã khởi động kế hoạch bảo mật STRIDE để giám sát liên tục và xác minh theo hình thức thay cho các đợt kiểm toán một lần truyền thống, đồng thời xây dựng mạng lưới ứng phó sự cố của Solana (SIRN) nhằm phối hợp phản ứng khẩn cấp theo thời gian thực trên toàn mạng. Sau sự kiện Drift, các giao thức đa chữ ký và các giao thức có giá trị cao trong hệ sinh thái đang phải đối mặt với sự rà soát bảo mật chặt chẽ hơn; mô hình phản ứng nhanh của Squads cung cấp một bản mẫu tham chiếu ứng phó khẩn cấp cho các giao thức khác trong hệ sinh thái.

Câu hỏi thường gặp

Đầu độc địa chỉ là gì? Trường hợp của Squads có điểm gì đặc biệt?

Đầu độc địa chỉ thường đề cập đến việc kẻ tấn công tạo ra các địa chỉ giả có độ tương tự rất cao với địa chỉ mục tiêu, nhằm dụ người dùng thao tác nhầm. Điểm đặc biệt của trường hợp Squads nằm ở chỗ kẻ tấn công không chỉ tạo ra các địa chỉ “hào nhoáng” có ký tự đầu-cuối khớp nhau, mà còn tự động thêm người dùng mục tiêu vào một tài khoản đa chữ ký giả, khiến tài khoản giả trông giống như một tổ chức hợp pháp mà người dùng “đã tham gia”, do đó mức độ lừa đảo phức tạp hơn.

Bản thân giao thức đa chữ ký của Squads có tồn tại lỗ hổng bảo mật không?

Squads phủ nhận rõ ràng lỗ hổng trong giao thức. Kẻ tấn công không thể truy cập tài chính trong tài khoản đa chữ ký của người dùng hiện có thông qua thủ thuật đầu độc địa chỉ, và cũng không thể sửa đổi cấu hình thành viên của các tài khoản đa chữ ký đã tồn tại. Cuộc tấn công này thuộc về lớp kỹ thuật xã hội ở giao diện, dựa vào việc lừa người dùng thao tác nhầm một cách chủ động, chứ không phải dựa vào sự xâm nhập kỹ thuật.

Người dùng nên nhận biết và phòng ngừa loại tấn công đầu độc địa chỉ này như thế nào?

Nguyên tắc bảo vệ cốt lõi có ba điểm: Một là bỏ qua tất cả các tài khoản đa chữ ký không phải do chính bạn tạo hoặc chưa được các thành viên được tin cậy rõ ràng thêm vào; Hai là khi xác minh địa chỉ hãy đối chiếu đầy đủ từng ký tự, tuyệt đối không chỉ dựa vào việc khớp bằng mắt của các ký tự đầu-cuối; Ba là đợi cơ chế danh sách trắng của Squads được ra mắt, rồi chủ động gắn nhãn các tài khoản đáng tin cậy thông qua danh sách trắng để nâng cao độ tin cậy trong việc nhận diện tài khoản.