Solana 生態多簽協議 Squads a émis un avertissement sur la plateforme X le 14 avril. Les attaquants visent les utilisateurs de Squads avec une attaque d’empoisonnement d’adresse : en créant de faux comptes dont les caractères de début et de fin des adresses multisi gatures correspondent à ceux d’adresses réelles et authentiques, ils incitent les utilisateurs à transférer des fonds vers une adresse malveillante ou à signer une transaction non autorisée. Squads confirme qu’il n’existe aucune preuve de pertes de fonds côté utilisateurs et indique qu’il s’agit d’une attaque d’ingénierie sociale au niveau de l’interface, et non d’une faille de sécurité au niveau du protocole.
Décryptage du mécanisme d’attaque : comment une structure de tromperie à deux niveaux fabrique de faux comptes
Les attaquants utilisent les données de clés publiques, rendues publiques sur la blockchain, pour concevoir une architecture de tromperie en double.
Premier niveau : ajouter automatiquement l’utilisateur cible à un compte multisig forgé. Les attaquants lisent depuis la chaîne les clés publiques des utilisateurs Squads existants, et créent de façon programmée un nouveau compte multisig dont le membre cible est ajouté. Ainsi, le faux compte semble dans l’interface comme une organisation où l’utilisateur cible « participe légalement », ce qui réduit la vigilance de la victime.
Deuxième niveau : générer des adresses “prestige” dont le début et la fin entrent en collision exactement avec ceux de l’adresse réelle. Les attaquants effectuent un calcul de collision d’adresse afin de générer une clé publique dont les caractères de début et de fin sont parfaitement identiques à ceux de l’adresse multisig réelle de l’utilisateur. En combinant avec la habitude de la majorité des utilisateurs qui ne vérifient que les caractères de début et de fin, le faux compte obtient un taux de réussite de tromperie visuelle relativement élevé.
Squads déclare clairement que, via les méthodes ci-dessus, les attaquants ne peuvent pas accéder directement ni contrôler les fonds des utilisateurs. Tous les risques de perte proviennent des actions effectuées volontairement par l’utilisateur une fois trompé, et non d’une intrusion du protocole au niveau technique.
Les mesures de réponse par étapes de Squads
Bannière d’alerte immédiate : dans les deux heures suivant la détection de l’attaque, afficher dans l’interface une bannière d’avertissement d’attaque visant les comptes suspects
Alerte de compte non interactif : ajouter des indicateurs d’avertissement dédiés aux comptes multisig n’ayant jamais eu d’historique d’interaction avec l’utilisateur, afin de réduire le risque d’erreur de manipulation
Mise en ligne du mécanisme de liste blanche : dans les prochains jours, lancer un mécanisme de liste blanche permettant aux utilisateurs de marquer clairement les comptes multisig connus et de confiance ; le système filtrera automatiquement les comptes inconnus
Recommandations de protection immédiate de l’utilisateur : ignorer tous les comptes multisig qui n’ont pas été créés par vous-même et qui n’ont pas été explicitement ajoutés par des membres de confiance ; lors de la vérification d’une adresse, effectuer une comparaison complète caractère par caractère, sans se fier uniquement à une correspondance visuelle basée sur les caractères de début et de fin.
Contexte plus large : la menace d’ingénierie sociale dans l’écosystème Solana continue de s’intensifier
L’attaque d’empoisonnement d’adresse menée contre Squads fait partie d’une montée récente des menaces de cybersécurité par ingénierie sociale dans l’écosystème Solana. Auparavant, l’affaire de vol de 285 millions de dollars subie par le protocole Drift a été attribuée par les organismes d’enquête principalement à l’ingénierie sociale plutôt qu’à des défauts de code des smart contracts : les attaquants ont dépensé plusieurs mois en se faisant passer pour des sociétés de transactions légitimes, ont gagné progressivement la confiance et ont fini par obtenir des droits d’accès aux systèmes.
La Solana Foundation et Asymmetric Research ont lancé le plan de sécurité STRIDE afin d’assurer une surveillance continue et de remplacer les audits ponctuels traditionnels par des vérifications formelles, ainsi que de mettre en place un réseau de réponse aux incidents de Solana (SIRN) pour coordonner la gestion des crises en temps réel sur l’ensemble du réseau. Après l’affaire Drift, les multisig et les protocoles à forte valeur de l’écosystème font l’objet d’un examen de sécurité plus strict. Le modèle de réponse rapide de Squads fournit un modèle de référence pour la gestion des crises pour les autres protocoles de l’écosystème.
Questions fréquentes
Qu’est-ce qu’une attaque d’empoisonnement d’adresse ? En quoi le cas Squads est-il particulier ?
Une attaque d’empoisonnement d’adresse désigne généralement le fait pour un attaquant de créer une fausse adresse très similaire à l’adresse cible, afin d’amener les utilisateurs à commettre une erreur de manipulation. La particularité du cas Squads réside dans le fait que l’attaquant ne se contente pas de générer des adresses “prestige” dont les caractères de début et de fin entrent en collision : il ajoute aussi automatiquement l’utilisateur cible au compte multisig forgé, ce qui fait apparaître le faux compte comme une organisation légitime où l’utilisateur « y a déjà participé ». La couche de tromperie est donc plus complexe.
Le protocole multisig de Squads lui-même présente-t-il une faille de sécurité ?
Squads nie de manière explicite l’existence d’une faille de protocole. L’attaquant ne peut pas accéder aux fonds du compte multisig des utilisateurs existants via la technique d’empoisonnement d’adresse, et ne peut pas modifier les paramètres des membres déjà configurés du multisig. Cette attaque relève de l’ingénierie sociale au niveau de l’interface : elle repose sur le fait de tromper l’utilisateur pour qu’il commette des erreurs de manipulation de son propre chef, plutôt que sur une intrusion technique.
Comment les utilisateurs peuvent-ils identifier et se prémunir contre ce type d’attaque d’empoisonnement d’adresse ?
Il existe trois principes clés de protection : d’abord, ignorer tous les comptes multisig qui n’ont pas été créés par vous-même ou qui n’ont pas été ajoutés explicitement par des membres de confiance ; ensuite, effectuer une comparaison complète caractère par caractère lors de la vérification d’une adresse, sans se fier uniquement à une correspondance visuelle basée sur les caractères de début et de fin ; enfin, une fois que le mécanisme de liste blanche de Squads sera en ligne, marquer activement les comptes de confiance via la liste blanche pour améliorer la fiabilité de l’identification des comptes.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
NXR AI lance sur Solana le 6 mai avec le contrat de jeton BFFZfJSrrBpwuKugv9Y52XMuwXy4YaWXJnCT49dkpump
D’après l’annonce officielle de NXR AI du 6 mai, NXR AI a été lancé sur la blockchain Solana avec l’adresse du contrat de jeton BFFZfJSrrBpwuKugv9Y52XMuwXy4YaWXJnCT49dkpump. Le projet se présente comme une crypto-monnaie axée sur l’IA, combinant l’innovation en intelligence artificielle avec la rapidité de Solana
GateNewsIl y a 5h
JPMorgan, Ripple, Mastercard lancent un pilote de trésorerie tokenisée sur la XRP Ledger
JPMorgan, Ripple, Mastercard et Ondo Finance ont achevé une transaction pilote consistant à transférer des bons du Trésor américains tokenisés à l’international en utilisant à la fois la blockchain du XRP Ledger et des infrastructures bancaires traditionnelles. Ripple a annoncé le pilote sur X (anciennement Twitter) mercredi, indiquant que la transa
CryptoFrontierIl y a 7h
Bullish achève la tokenisation de 151 millions d’actions sur Solana lors de Consensus 2026
D’après le PDG de Bullish, Thomas Farley, lors de Consensus 2026, l’entreprise a achevé la tokenisation de l’ensemble de ses capitaux propres (151 millions d’actions) sur Solana. Farley a montré un transfert en direct à l’aide du portefeuille Phantom au cours de la
GateNewsIl y a 8h
Les ETF au comptant SOL enregistrent 21,3 millions de dollars d’entrées nettes sur la nuit, Bitwise BSOL en tête
D’après ChainCatcher citant des données de SoSoValue, les ETF au comptant sur SOL ont enregistré des entrées nettes de 21,3 millions de dollars hier (6 mai). L’ETF de staking Solana de Bitwise (BSOL) a mené les entrées avec 20,77 millions de dollars, tandis que l’ETF Fidelity Solana Fund (FSOL)
GateNewsIl y a 10h
La Jito Foundation et Solana Company annoncent un partenariat de validateurs APAC couvrant Hong Kong, Singapour, le Japon et la Corée du Sud
D’après une déclaration, la Jito Foundation et Solana Company ont annoncé mercredi (6 mai) un partenariat stratégique visant à étendre l’infrastructure institutionnelle de staking de Solana dans la région Asie-Pacifique. Les deux entreprises feront fonctionner conjointement des serveurs de validateurs ancrés par la partie Pacific de Solana Company
GateNewsIl y a 11h
