_**Squadsは、Solanaのマルチシグユーザーを標的としたアクティブなアドレスポイズニング攻撃を警告しました。まだ資金の損失はありませんが、脅威は現実的で急速に拡大しています。**_Solanaの主要なマルチシグプラットフォームであるSquadsは、月曜日にセキュリティ警告を公表しました。多くのユーザーは目覚めたときに予期していなかったでしょう。アドレスポイズニング攻撃がユーザーベースを標的にしています。資金はまだ失われていません。まだ、というだけです。Xの@multisigによると、攻撃者はSolanaが公開オンチェーンデータをインデックス化する方法を悪用しています。すべての公開鍵とそれに関連付けられたアカウントがオンチェーン上で見えるため、悪意のある者はプログラム的に新しいマルチシグアカウントを作成し、実際のSquadsユーザーをメンバーとして含めています。その偽のアカウントはSquadsのUIに表示されます。**巧妙だけど効果的なトリック**-----------------------------この攻撃はプロトコルのバグを必要としません。あなたの秘密鍵も必要ありません。必要なのは、一度だけあなたの注意が滑ることです。@multisigが投稿で説明したように、攻撃者は実際のSquadsのボールトアドレスの最初と最後の文字に一致する公開鍵も収集しています。それにより、偽のアカウントは一目で本物と区別がつかなくなります。目的はシンプルです:ユーザーに攻撃者の所有するボールトアドレスをコピーさせ、その資金をそこに送金させること。または、彼らが作成していないトランザクションに署名させること。アドレスポイズニングのプレイブックは新しいものではありません。ここで異なるのは、マルチシグの角度です。攻撃者は見た目が似ているトランスファーでウォレット履歴を汚染するのではなく、偽のマルチシグアカウントを直接ユーザーのSquadリストに注入し、それがそこに属しているかのように見せかけています。**プロトコルの侵害はないが、リスクは現実的**--------------------------------------------Squadsは脅威の範囲について明確に述べました。攻撃者はトランザクションを実行できず、既存のマルチシグに触れられず、ユーザーの操作なしに資金を動かすこともできません。@multisigがXの投稿で述べたように、「純粋にUIレベルのソーシャルエンジニアリングの試み」です。この枠組みは重要です。これは従来のハッキングとは異なります。しかし、ソーシャルエンジニアリングは、多くのプロトコルの脆弱性よりもはるかに多くのユーザーに損害を与えてきました。発表後数時間以内に、SquadsはUIのアップデートを2時間以内に展開すると述べました。その一つが攻撃を警告するバナーの表示です。プラットフォームはまた、ユーザーがこれまでに関わったことのないマルチシグには警告が表示されるとも述べました。これらの変更は、ユーザーが本物のアカウントと注入された偽アカウントをより早く区別できるようにするためのものです。長期的には、@multisigは数日以内にホワイトリストシステムを導入することを確認しました。新しいマルチシグアカウントは保留状態から開始し、ユーザーのSquadリストに表示される前に手動承認が必要になります。これにより、UIレベルでの攻撃ベクトルが効果的に排除されます。**今すぐユーザーに伝えた対策**----------------------------プラットフォームはユーザーに4つの明確なステップを示しました。まず、あなたが作成していない、またはチームに追加されていないマルチシグには関わらないこと。次に、ウォレットアドレスの最初と最後の文字だけで確認するのはやめること。その部分的な確認は、まさに攻撃者が狙っていることです。三つ目は、何か異常に見える場合は、署名する前にチームに確認すること。四つ目は、最も強調された対策:あなたの本物のアカウントをデフォルトに設定することです。これにより、それらがSquadリストの上部に固定され、偽者を見つけやすくなります。ユーザーは、Squadの横にある三点メニューをクリックして設定できます。偽アドレス検出ツールは、この種の脅威に対する標準的な対応策となりつつあります。Squadsはこれをワークフローに直接組み込もうとしています。チームは、修正が展開され次第、Xで引き続きアップデートを投稿すると述べました。
SquadsはSolanaマルチシグユーザーを狙ったアドレスポイズニングスキームに警告を発する
Squadsは、Solanaのマルチシグユーザーを標的としたアクティブなアドレスポイズニング攻撃を警告しました。まだ資金の損失はありませんが、脅威は現実的で急速に拡大しています。
Solanaの主要なマルチシグプラットフォームであるSquadsは、月曜日にセキュリティ警告を公表しました。多くのユーザーは目覚めたときに予期していなかったでしょう。アドレスポイズニング攻撃がユーザーベースを標的にしています。資金はまだ失われていません。
まだ、というだけです。
Xの@multisigによると、攻撃者はSolanaが公開オンチェーンデータをインデックス化する方法を悪用しています。すべての公開鍵とそれに関連付けられたアカウントがオンチェーン上で見えるため、悪意のある者はプログラム的に新しいマルチシグアカウントを作成し、実際のSquadsユーザーをメンバーとして含めています。その偽のアカウントはSquadsのUIに表示されます。
巧妙だけど効果的なトリック
この攻撃はプロトコルのバグを必要としません。あなたの秘密鍵も必要ありません。
必要なのは、一度だけあなたの注意が滑ることです。@multisigが投稿で説明したように、攻撃者は実際のSquadsのボールトアドレスの最初と最後の文字に一致する公開鍵も収集しています。それにより、偽のアカウントは一目で本物と区別がつかなくなります。目的はシンプルです:ユーザーに攻撃者の所有するボールトアドレスをコピーさせ、その資金をそこに送金させること。
または、彼らが作成していないトランザクションに署名させること。
アドレスポイズニングのプレイブックは新しいものではありません。ここで異なるのは、マルチシグの角度です。攻撃者は見た目が似ているトランスファーでウォレット履歴を汚染するのではなく、偽のマルチシグアカウントを直接ユーザーのSquadリストに注入し、それがそこに属しているかのように見せかけています。
プロトコルの侵害はないが、リスクは現実的
Squadsは脅威の範囲について明確に述べました。攻撃者はトランザクションを実行できず、既存のマルチシグに触れられず、ユーザーの操作なしに資金を動かすこともできません。@multisigがXの投稿で述べたように、「純粋にUIレベルのソーシャルエンジニアリングの試み」です。
この枠組みは重要です。これは従来のハッキングとは異なります。しかし、ソーシャルエンジニアリングは、多くのプロトコルの脆弱性よりもはるかに多くのユーザーに損害を与えてきました。
発表後数時間以内に、SquadsはUIのアップデートを2時間以内に展開すると述べました。その一つが攻撃を警告するバナーの表示です。プラットフォームはまた、ユーザーがこれまでに関わったことのないマルチシグには警告が表示されるとも述べました。これらの変更は、ユーザーが本物のアカウントと注入された偽アカウントをより早く区別できるようにするためのものです。
長期的には、@multisigは数日以内にホワイトリストシステムを導入することを確認しました。新しいマルチシグアカウントは保留状態から開始し、ユーザーのSquadリストに表示される前に手動承認が必要になります。これにより、UIレベルでの攻撃ベクトルが効果的に排除されます。
今すぐユーザーに伝えた対策
プラットフォームはユーザーに4つの明確なステップを示しました。まず、あなたが作成していない、またはチームに追加されていないマルチシグには関わらないこと。次に、ウォレットアドレスの最初と最後の文字だけで確認するのはやめること。その部分的な確認は、まさに攻撃者が狙っていることです。
三つ目は、何か異常に見える場合は、署名する前にチームに確認すること。四つ目は、最も強調された対策:あなたの本物のアカウントをデフォルトに設定することです。これにより、それらがSquadリストの上部に固定され、偽者を見つけやすくなります。ユーザーは、Squadの横にある三点メニューをクリックして設定できます。
偽アドレス検出ツールは、この種の脅威に対する標準的な対応策となりつつあります。Squadsはこれをワークフローに直接組み込もうとしています。
チームは、修正が展開され次第、Xで引き続きアップデートを投稿すると述べました。