العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
الفرق تصدر إنذارًا بشأن مخطط تسميم العناوين يستهدف مستخدمي التوقيع المتعدد على سولانا
سكوادرز حذرت من هجوم تسميم عناوين نشط يستهدف مستخدمي سولانا متعدد التوقيعات. لم تُفقد أموال بعد، لكن التهديد حقيقي ويتزايد بسرعة.
أطلقت سكوادرز، المنصة الرائدة للتوقيعات المتعددة على سولانا، تحذيرًا أمنيًا يوم الاثنين، وهو أمر لم يتوقع معظم المستخدمين أن يستيقظوا عليه. هجوم تسميم العناوين يستهدف حاليًا قاعدة مستخدميها. لم تُفقد أموال بعد.
ليس بعد، على الأقل.
وفقًا لـ @multisig على X، يستغل المهاجمون كيفية فهرسة سولانا للبيانات العامة على السلسلة. نظرًا لأن كل مفتاح عام وحساباته المرتبطة مرئية على السلسلة، يقوم المهاجمون بشكل برمجي بإنشاء حسابات توقيع متعددة جديدة تتضمن مستخدمي سكوادرز الحقيقيين كأعضاء. تظهر تلك الحسابات المزيفة في واجهة المستخدم الخاصة بسكوادرز.
الحيلة دقيقة لكنها فعالة
لا يحتاج الهجوم إلى خلل في البروتوكول ليعمل. كما أنه لا يحتاج إلى مفاتيحك الخاصة.
ما يحتاجه هو أن تتساهل في انتباهك، مرة واحدة فقط. كما شرح @multisig في المنشور، يقوم المهاجمون أيضًا بتوليد مفاتيح عامة تتطابق مع الحرف الأول والأخير من عناوين خزائن سكوادرز الحقيقية. هذا يجعل الحساب المزيف يبدو غير قابل للتمييز عن الحقيقي من نظرة واحدة. الهدف بسيط: جعل المستخدمين ينسخون عنوان خزينة ينتمي للمهاجم، ثم يرسلون الأموال إليه.
أو يوقعون على معاملة لم يخلقوها أبدًا.
دليل تسميم العناوين ليس جديدًا. ما يختلف هنا هو زاوية التوقيع المتعدد. المهاجمون لا يسممون سجل المحفظة بنقل مشابه. إنهم يحقنون حسابات توقيع متعددة مزيفة مباشرة في قائمة سكوادرز الخاصة بالمستخدم، مما يجعلها تظهر وكأنها تنتمي هناك.
لا خرق للبروتوكول، لكن الخطر حقيقي
كانت سكوادرز واضحة بشأن نطاق التهديد. لا يمكن للمهاجم تنفيذ معاملات، ولا يمكنه لمس التوقيعات المتعددة الموجودة، ولا يمكنه نقل الأموال بدون تدخل المستخدم. هو، كما قال @multisig في منشور X، “محاولة هندسة اجتماعية على مستوى واجهة المستخدم فقط.”
هذا الإطار مهم. هذا ليس اختراقًا بالمعنى التقليدي. لكن الهندسة الاجتماعية كلفت المستخدمين أكثر بكثير من معظم استغلالات البروتوكول على الإطلاق.
في الساعات التي تلت الإعلان، قالت سكوادرز إن تحديثات الواجهة ستُطلق خلال ساعتين. وكان من بين تلك التحديثات لافتة تحذيرية تنبه المستخدمين إلى الهجوم. كما ذكرت المنصة أن تنبيهًا سيظهر على أي توقيع متعدد لم يتفاعل معه المستخدم من قبل. تم إصدار كلا التحديثين لمساعدة المستخدمين على التمييز بسرعة بين الحسابات الحقيقية والمزيفة.
على المدى الطويل، أكد @multisig أن نظام القائمة البيضاء قادم خلال أيام. ستبدأ حسابات التوقيع المتعدد الجديدة في حالة انتظار وتتطلب موافقة يدوية قبل ظهورها في قائمة سكوادرز الخاصة بالمستخدم. هذا يقطع فعليًا مسار الهجوم على مستوى واجهة المستخدم.
ما طلبت سكوادرز من المستخدمين فعله الآن
قدمت المنصة للمستخدمين أربع خطوات واضحة. أولاً، تجاهل ولا تتفاعل مع أي توقيع متعدد لم تنشئه أو لم يضفك إليه فريقك. ثانيًا، توقف عن الاعتماد فقط على تطابق الحرف الأول والأخير من عنوان المحفظة للتحقق منه. هذا التحقق الجزئي هو بالضبط ما يعتمد عليه المهاجمون.
ثالثًا، إذا بدا أي شيء غير طبيعي، تحقق مع فريقك قبل توقيع أي شيء. رابعًا، والأهم الذي دفعته سكوادرز بقوة: اجعل حساباتك الحقيقية الافتراضية. ذلك يضعها في أعلى قائمة سكوادرز، مما يسهل على المستخدمين اكتشاف المحتالين. يمكن للمستخدمين فعل ذلك بالنقر على قائمة الثلاث نقاط بجانب حسابهم في سكوادرز.
أدوات كشف العناوين المزيفة أصبحت رد فعل قياسي لهذا النوع من التهديدات. سكوادرز تبني واحدة مباشرة في سير عملها.
قال الفريق إنه سيواصل نشر التحديثات على X مع إصدار الإصلاحات.