Futuros
Aceda a centenas de contratos perpétuos
TradFi
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Simple Earn
Ganhe juros com tokens inativos
Investimento automático
Invista automaticamente de forma regular.
Investimento Duplo
Aproveite a volatilidade do mercado
Soft Staking
Ganhe recompensas com staking flexível
Empréstimo de criptomoedas
0 Fees
Dê em garantia uma criptomoeda para pedir outra emprestada
Centro de empréstimos
Centro de empréstimos integrado
Equipes alertam sobre esquema de envenenamento de endereços que afeta utilizadores de multisig na Solana
Squads identificou um ataque ativo de envenenamento de endereços direcionado aos utilizadores de multisig na Solana. Ainda não foram perdidos fundos, mas a ameaça é real e está a crescer rapidamente.
A Squads, a principal plataforma de multisig na Solana, tornou pública na segunda-feira um aviso de segurança que a maioria dos utilizadores provavelmente não esperava acordar para. Um ataque de envenenamento de endereços está a direcionar ativamente a sua base de utilizadores. Ainda não foram perdidos fundos.
Pelo menos, ainda não.
De acordo com @multisig no X, os atacantes estão a explorar como a Solana indexa dados públicos na cadeia. Como cada chave pública e as suas contas associadas são visíveis na cadeia, atores mal-intencionados estão a criar programaticamente novas contas multisig que incluem utilizadores reais da Squads como membros. Essas contas falsas aparecem na interface da Squads.
O Truque É Sutil Mas Eficaz
O ataque não precisa de uma falha no protocolo para funcionar. Também não precisa das suas chaves privadas.
O que precisa é que a sua atenção escorregue, só uma vez. Como @multisig explicou na publicação, os atacantes também estão a gerar chaves públicas que correspondem aos primeiros e últimos caracteres de endereços de cofres reais da Squads. Isso faz com que uma conta falsa pareça indistinguível de uma verdadeira à primeira vista. O objetivo é simples: fazer os utilizadores copiarem um endereço de cofre que pertence ao atacante, e depois enviarem fundos para lá.
Ou assinarem uma transação que nunca criaram.
O manual de envenenamento de endereços não é novo. O que é diferente aqui é o ângulo multisig. Os atacantes não estão a envenenar o histórico de uma carteira com uma transferência semelhante. Estão a injectar contas multisig falsas diretamente na lista de Squads de um utilizador, fazendo-as parecer que pertencem lá.
Sem Brecha no Protocolo, Mas o Risco É Real
A Squads foi clara quanto ao alcance da ameaça. O atacante não consegue executar transações, não consegue tocar em multisigs existentes, e não consegue mover fundos sem ação do utilizador. É, como @multisig colocou na publicação no X, “apenas uma tentativa de engenharia social ao nível da interface de utilizador.”
Essa abordagem importa. Isto não é um hacking no sentido tradicional. Mas a engenharia social já custou aos utilizadores muito mais do que a maioria dos exploits de protocolo alguma vez custaram.
Nas horas após o anúncio, a Squads disse que atualizações na interface estavam a ser enviadas dentro de duas horas. Um banner de aviso alertando os utilizadores para o ataque foi uma dessas atualizações. A plataforma também afirmou que um aviso apareceria em qualquer multisig com o qual um utilizador nunca tivesse interagido antes. Ambas as mudanças foram implementadas para ajudar os utilizadores a distinguir contas reais de falsas mais rapidamente.
A longo prazo, @multisig confirmou que um sistema de lista de permissões (whitelist) será implementado dentro de dias. Novas contas multisig começarão num estado pendente e precisarão de aprovação manual antes de aparecer na lista de Squads de um utilizador. Isso efetivamente elimina o vetor de ataque ao nível da interface de utilizador.
O Que a Squads Disse aos Utilizadores Para Fazer Agora
A plataforma deu aos seus utilizadores quatro passos claros. Primeiro, ignore e não interaja com qualquer multisig que não tenha criado ou ao qual não tenha sido adicionado pela sua equipa. Segundo, deixe de confiar apenas na correspondência dos primeiros e últimos caracteres de um endereço de carteira para verificá-lo. Essa verificação parcial é exatamente o que os atacantes contam.
Terceiro, se algo parecer estranho, consulte a sua equipa antes de assinar qualquer coisa. Quarto, e o mais importante que a Squads destacou: defina as suas contas reais como padrão. Isso as fixa no topo da lista de Squads, tornando mais fácil identificar impostores. Os utilizadores podem fazer isso clicando no menu de três pontos ao lado do seu Squad.
Ferramentas de deteção de endereços falsos estão a tornar-se uma resposta padrão a este tipo de ameaça. A Squads está a desenvolver uma ferramenta integrada no seu fluxo de trabalho.
A equipa afirmou que continuará a publicar atualizações no X à medida que as correções forem sendo implementadas.