Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Les équipes tirent la sonnette d'alarme sur un schéma d'empoisonnement d'adresses touchant les utilisateurs multisig de Solana
Squads a signalé une attaque d’empoisonnement d’adresse active ciblant les utilisateurs multisig de Solana. Aucun fonds n’a encore été perdu, mais la menace est réelle et en croissance rapide.
Squads, la principale plateforme multisig sur Solana, a rendu publique lundi une alerte de sécurité à laquelle la plupart des utilisateurs ne s’attendaient probablement pas en se réveillant. Une attaque d’empoisonnement d’adresse cible activement sa base d’utilisateurs. Aucun fonds n’a été perdu.
Pas encore, en tout cas.
Selon @multisig sur X, les attaquants exploitent la façon dont Solana indexe les données publiques sur la chaîne. Parce que chaque clé publique et ses comptes associés sont visibles sur la blockchain, de mauvais acteurs créent de manière programmatique de nouveaux comptes multisig incluant de vrais utilisateurs de Squads en tant que membres. Ces faux comptes apparaissent dans l’interface utilisateur de Squads.
L’astuce est subtile mais efficace
L’attaque ne nécessite pas une faille de protocole pour fonctionner. Elle n’a pas non plus besoin de vos clés privées.
Ce qu’elle nécessite, c’est que votre attention faiblisse, ne serait-ce qu’une seule fois. Comme l’a expliqué @multisig dans le post, les attaquants exploitent aussi des clés publiques qui correspondent aux premiers et derniers caractères des adresses de coffre-fort Squads réelles. Cela rend un faux compte indiscernable d’un vrai à première vue. L’objectif est simple : amener les utilisateurs à copier une adresse de coffre-fort appartenant à l’attaquant, puis à envoyer des fonds là-bas.
Ou signer une transaction qu’ils n’ont jamais créée.
Le manuel d’empoisonnement d’adresse n’est pas nouveau. Ce qui diffère ici, c’est l’angle multisig. Les attaquants ne contaminent pas un historique de portefeuille avec un transfert ressemblant. Ils injectent directement de faux comptes multisig dans la liste Squad d’un utilisateur, leur faisant apparaître comme s’ils en faisaient partie.
Pas de brèche de protocole, mais le risque est réel
Squads a été clair sur l’étendue de la menace. L’attaquant ne peut pas exécuter de transactions, ne peut pas toucher aux multisigs existants, et ne peut pas déplacer de fonds sans action de l’utilisateur. C’est, comme l’a dit @multisig dans le post sur X, « purement une tentative d’ingénierie sociale au niveau de l’interface utilisateur. »
Ce cadre est important. Ce n’est pas un piratage au sens traditionnel. Mais l’ingénierie sociale a coûté bien plus aux utilisateurs que la plupart des exploits de protocole.
Dans les heures suivant l’annonce, Squads a indiqué que des mises à jour de l’interface utilisateur seraient déployées dans les deux heures. Une bannière d’avertissement alertant les utilisateurs de l’attaque en faisait partie. La plateforme a également dit qu’une alerte apparaîtrait sur tout multisig avec lequel un utilisateur n’avait jamais interagi auparavant. Ces deux changements visaient à aider les utilisateurs à distinguer plus rapidement les comptes réels des faux injectés.
À plus long terme, @multisig a confirmé qu’un système de liste blanche arriverait dans les jours qui viennent. Les nouveaux comptes multisig commenceront dans un état en attente et nécessiteront une approbation manuelle avant d’apparaître dans la liste Squad d’un utilisateur. Cela élimine effectivement la vecteur d’attaque au niveau de l’interface utilisateur.
Ce que Squads a conseillé aux utilisateurs de faire immédiatement
La plateforme a donné à ses utilisateurs quatre étapes claires. Premièrement, ignorer et ne pas interagir avec tout multisig que vous n’avez pas créé ou auquel votre équipe ne vous a pas ajouté. Deuxièmement, cesser de se fier uniquement à la correspondance des premiers et derniers caractères d’une adresse de portefeuille pour la vérifier. Cette vérification partielle est exactement ce sur quoi comptent les attaquants.
Troisièmement, si quelque chose semble suspect, vérifier avec votre équipe avant de signer quoi que ce soit. Quatrièmement, et le point sur lequel Squads a insisté le plus : définir vos comptes réels comme par défaut. Cela les place en haut de la liste Squad, rendant plus facile la détection des imposteurs. Les utilisateurs peuvent faire cela en cliquant sur le menu à trois points à côté de leur Squad.
Les outils de détection d’adresses falsifiées deviennent une réponse standard face à ce type de menace. Squads en construit un directement intégré dans son flux de travail.
L’équipe a dit qu’elle continuerait à publier des mises à jour sur X au fur et à mesure que les correctifs seront déployés.