Squads Mengeluarkan Alarm tentang Skema Racun Alamat yang Menyerang Pengguna Solana Multisig

Squads telah menandai serangan keracunan alamat aktif yang menargetkan pengguna multisig Solana. Belum ada dana yang hilang, tetapi ancaman ini nyata dan berkembang dengan cepat.

Squads, platform multisig terkemuka di Solana, mengumumkan secara publik pada hari Senin dengan peringatan keamanan yang mungkin tidak diduga oleh sebagian besar pengguna saat mereka bangun. Serangan keracunan alamat sedang menargetkan basis penggunanya secara aktif. Belum ada dana yang hilang.

Setidaknya belum.

Menurut @multisig di X, penyerang memanfaatkan cara Solana mengindeks data on-chain publik. Karena setiap kunci publik dan akun terkaitnya terlihat di onchain, pelaku jahat secara programatis membuat akun multisig baru yang mencakup pengguna Squads asli sebagai anggotanya. Akun palsu tersebut muncul di antarmuka pengguna Squads.

Trik ini Halus Tapi Efektif

Serangan ini tidak memerlukan bug protokol untuk berhasil. Mereka juga tidak memerlukan kunci pribadi Anda.

Yang mereka butuhkan hanyalah perhatian Anda yang terlewat, sekali saja. Seperti yang dijelaskan @multisig dalam postingan tersebut, penyerang juga memanfaatkan kunci publik yang cocok dengan karakter pertama dan terakhir dari alamat vault Squads yang asli. Itu membuat akun palsu tampak tak terbedakan dari yang asli sekilas. Tujuannya sederhana: membuat pengguna menyalin alamat vault yang dimiliki penyerang, lalu mengirim dana ke sana.

Atau menandatangani transaksi yang mereka tidak pernah buat.

Playbook keracunan alamat ini bukan hal baru. Yang berbeda di sini adalah sudut pandang multisig. Penyerang tidak meracuni riwayat dompet dengan transfer yang mirip. Mereka menyuntikkan akun multisig palsu langsung ke dalam daftar Squads pengguna, sehingga tampak seolah-olah mereka memang milik pengguna tersebut.

Tidak Ada Pelanggaran Protokol, Tapi Risikonya Nyata

Squads secara langsung menjelaskan ruang lingkup ancaman ini. Penyerang tidak bisa mengeksekusi transaksi, tidak bisa menyentuh multisig yang ada, dan tidak bisa memindahkan dana tanpa tindakan pengguna. Seperti yang dikatakan @multisig dalam postingan di X, ini adalah “hanya upaya rekayasa sosial di tingkat UI.”

Kerangka ini penting. Ini bukan peretasan dalam arti tradisional. Tapi rekayasa sosial telah menimbulkan biaya yang jauh lebih besar bagi pengguna daripada sebagian besar eksploitasi protokol pernah lakukan.

Dalam beberapa jam setelah pengumuman, Squads mengatakan pembaruan UI akan dikirim dalam waktu dua jam. Salah satu peringatan banner yang memberi tahu pengguna tentang serangan tersebut juga termasuk di dalamnya. Platform ini juga mengatakan bahwa peringatan akan muncul di setiap multisig yang belum pernah diinteraksi pengguna sebelumnya. Kedua perubahan ini dirilis untuk membantu pengguna membedakan akun asli dari yang palsu dengan lebih cepat.

Dalam jangka panjang, @multisig mengonfirmasi bahwa sistem whitelist akan datang dalam beberapa hari. Akun multisig baru akan mulai dalam status tertunda dan memerlukan persetujuan manual sebelum muncul di daftar Squad pengguna. Ini secara efektif mengurangi vektor serangan di tingkat UI.

Apa yang Diberitahukan Squads kepada Pengguna untuk Dilakukan Sekarang

Platform ini memberi empat langkah jelas kepada penggunanya. Pertama, abaikan dan jangan berinteraksi dengan multisig yang tidak Anda buat atau yang tidak ditambahkan oleh tim Anda. Kedua, berhenti mengandalkan kecocokan hanya karakter pertama dan terakhir dari alamat dompet untuk memverifikasi. Pemeriksaan parsial ini adalah apa yang diandalkan penyerang.

Ketiga, jika ada yang mencurigakan, periksa dengan tim Anda sebelum menandatangani apa pun. Keempat, dan yang paling ditekankan oleh Squads: tetapkan akun asli Anda sebagai default. Itu akan menempatkannya di bagian atas daftar Squad, sehingga penipu lebih mudah dikenali. Pengguna dapat melakukannya dengan mengklik menu tiga titik di samping Squad mereka.

Alat deteksi alamat palsu semakin menjadi respons standar terhadap kategori ancaman ini. Squads sedang membangun satu langsung ke dalam alur kerjanya.

Tim mengatakan akan terus memposting pembaruan di X saat perbaikan diluncurkan.