Squads 用户注意！地址污染攻击解析与防范指南

什么是地址污染攻击？

在区块链世界中，地址本质上是一串公开可见的字串，因此任何人都能观察并利用这些资讯进行攻击设计。

这次针对 Squads 用户的攻击，属于典型的地址污染（Address Poisoning）案例，攻击者会制造看起来很像你帐户的假地址，利用视觉混淆，引导你做出错误操作，这种攻击并不直接入侵系统，而是利用人为判断失误。

攻击是怎么发生的？

（来源：multisig）

本次事件主要透过以下两种方式进行：

1. 伪造多签帐户

攻击者会建立新的多签钱包，将受害者的公钥加入成员列表，让该帐户出现在使用者的介面中。由于系统会显示与你地址相关的帐户，这些假帐户就会混入你的清单。

2. 模仿地址格式

攻击者会刻意生成与真实地址开头与结尾相似的地址，例如：

• 真地址：ABCD...XYZ

• 假地址：ABCF...XYA

如果只看前后几码，很容易造成误判。

攻击目的是什么？

这类攻击的核心并不是骇入，而是骗你操作。

常见目标包括：

• 误将资金转入假地址

• 签署自己没有发起的交易

• 误认假帐户为团队帐户

错误来自操作，而不是系统漏洞。

资金安全有没有受到影响？

目前来看，这次事件有一个重要结论，没有已知资金损失，且协议本身没有被攻破。

攻击者无法做到以下事情：

• 存取你的资产

• 修改你的多签设定

• 强制执行交易

因此，只要不误操作，资产就是安全的。

官方即将推出的安全更新

（来源：multisig）

为了进一步降低风险，Squads 团队也规划了一系列 UI 改进：

1. 短期（即时）

• 显示安全警示横幅

• 标记从未互动过的多签帐户

2. 中期（数日内）

• 新帐户预设进入待确认状态

• 使用者需手动加入清单（白名单机制）

这些设计的核心目标是降低误认地址的可能性。

使用者该如何防范？

在面对潜在的攻击风险时，建立正确的操作习惯是关键。对于任何不熟悉的多签帐户应保持警觉，原则上只操作自己建立或经团队明确确认过的帐户，避免误与恶意地址互动，且不应仅依赖地址的前后几码来判断真伪，正确做法是完整比对地址，或透过内部纪录与白名单进行确认，以降低判断错误的风险。

此外，在多签环境中，由于通常涉及多人协作，任何不确定的交易都应先与团队进行确认，再进行后续操作，避免因沟通落差造成资产损失。建议将常用且安全的帐户进行固定（Pin）设定，使其优先显示于清单顶部，这不仅能提升操作效率，也能有效降低误点或误操作的可能性。

总结

地址污染攻击本质上是一种利用人性弱点的社交工程，而非技术性漏洞，这次针对 Squads 的案例再次提醒，区块链安全不仅取决于协议设计，更与使用者操作习惯密切相关。在链上世界中，养成完整验证地址与谨慎签署交易的习惯，才是保护资产最关键的一道防线。