Đội nhóm báo động về âm mưu tấn công địa chỉ gây ảnh hưởng đến người dùng đa chữ ký trên Solana

Squads đã cảnh báo về một cuộc tấn công đầu độc địa chỉ đang hoạt động nhằm vào người dùng multisig trên Solana. Chưa có quỹ nào bị mất, nhưng mối đe dọa là có thật và đang gia tăng nhanh chóng.

Squads, nền tảng multisig hàng đầu trên Solana, đã công khai vào thứ Hai một cảnh báo về an ninh mà hầu hết người dùng có thể không ngờ tới khi thức dậy. Một cuộc tấn công đầu độc địa chỉ đang nhắm vào cơ sở người dùng của nó. Chưa có quỹ nào bị mất.

Chưa, ít nhất là chưa.

Theo @multisig trên X, các kẻ tấn công đang lợi dụng cách Solana lập chỉ mục dữ liệu công khai trên chuỗi. Vì mỗi khoá công khai và các tài khoản liên quan đều hiển thị trên chuỗi, các tác nhân xấu đang tự động tạo ra các tài khoản multisig mới bao gồm người dùng Squads thật làm thành viên. Những tài khoản giả này xuất hiện trong giao diện người dùng của Squads.

Mánh khóe thì tinh vi nhưng hiệu quả

Cuộc tấn công không cần một lỗi trong giao thức để hoạt động. Nó cũng không cần khoá riêng tư của bạn.

Điều nó cần là sự chú ý của bạn bị lơ là, chỉ một lần thôi. Như @multisig đã giải thích trong bài đăng, các kẻ tấn công cũng đang khai thác các khoá công khai phù hợp với ký tự đầu và cuối của địa chỉ vault Squads thật. Điều này khiến một tài khoản giả trông giống hệt như thật khi nhìn thoáng qua. Mục tiêu đơn giản là: khiến người dùng sao chép địa chỉ vault của kẻ tấn công, rồi gửi quỹ vào đó.

Hoặc ký một giao dịch mà họ chưa từng tạo ra.

Sổ tay đầu độc địa chỉ không mới. Điểm khác biệt ở đây là góc nhìn multisig. Các kẻ tấn công không đầu độc lịch sử ví bằng một giao dịch giả. Họ đang chèn trực tiếp các tài khoản multisig giả vào danh sách Squads của người dùng, khiến chúng trông như thể thuộc về đó.

Không có vi phạm giao thức, nhưng rủi ro là có thật

Squads đã rõ ràng về phạm vi của mối đe dọa. Kẻ tấn công không thể thực hiện các giao dịch, không thể tác động đến các multisig hiện có, và không thể di chuyển quỹ nếu không có hành động của người dùng. Như @multisig đã nói trong bài đăng trên X, đây là “một nỗ lực lừa đảo xã hội chỉ ở cấp độ giao diện người dùng.”

Cách diễn đạt này rất quan trọng. Đây không phải là một vụ hack theo nghĩa truyền thống. Nhưng lừa đảo xã hội đã khiến người dùng thiệt hại nhiều hơn hầu hết các lỗi trong giao thức từng gây ra.

Trong vài giờ sau thông báo, Squads cho biết các cập nhật giao diện người dùng sẽ được triển khai trong vòng hai giờ. Một banner cảnh báo về cuộc tấn công đã được thêm vào. Nền tảng cũng nói rằng một cảnh báo sẽ xuất hiện trên bất kỳ multisig nào mà người dùng chưa từng tương tác trước đó. Cả hai thay đổi này nhằm giúp người dùng phân biệt nhanh hơn các tài khoản thật và giả.

Trong dài hạn, @multisig xác nhận rằng hệ thống danh sách trắng sẽ ra mắt trong vài ngày tới. Các tài khoản multisig mới sẽ bắt đầu trong trạng thái chờ và cần được phê duyệt thủ công trước khi xuất hiện trong danh sách Squad của người dùng. Điều này sẽ loại bỏ hiệu quả lỗ hổng tấn công ở cấp độ giao diện người dùng.

Những gì Squads đã hướng dẫn người dùng làm ngay bây giờ

Nền tảng đã đưa ra bốn bước rõ ràng cho người dùng. Thứ nhất, bỏ qua và không tương tác với bất kỳ multisig nào mà bạn không tạo ra hoặc không được nhóm của bạn thêm vào. Thứ hai, đừng dựa vào việc chỉ kiểm tra ký tự đầu và cuối của địa chỉ ví để xác minh. Kiểm tra một phần như vậy chính xác là điều các kẻ tấn công đang dựa vào.

Thứ ba, nếu có điều gì đó trông không ổn, hãy kiểm tra với nhóm của bạn trước khi ký bất cứ thứ gì. Thứ tư, và là bước quan trọng nhất mà Squads nhấn mạnh: đặt các tài khoản thật của bạn làm mặc định. Điều này giúp chúng đứng ở vị trí đầu trong danh sách Squad, dễ dàng phát hiện các giả mạo hơn. Người dùng có thể làm điều này bằng cách nhấn vào menu ba chấm bên cạnh Squad của họ.

Các công cụ phát hiện địa chỉ giả đang trở thành phản ứng tiêu chuẩn đối với loại mối đe dọa này. Squads đang xây dựng một công cụ như vậy trực tiếp vào quy trình làm việc của mình.

Nhóm cho biết sẽ tiếp tục đăng cập nhật trên X khi các bản vá được triển khai.