Solana 生態多簽協議 Squads a émis un avertissement sur la plateforme X le 14 avril. Les attaquants visent les utilisateurs de Squads avec une attaque d’empoisonnement d’adresse : en créant de faux comptes dont les caractères de début et de fin des adresses multisi gatures correspondent à ceux d’adresses réelles et authentiques, ils incitent les utilisateurs à transférer des fonds vers une adresse malveillante ou à signer une transaction non autorisée. Squads confirme qu’il n’existe aucune preuve de pertes de fonds côté utilisateurs et indique qu’il s’agit d’une attaque d’ingénierie sociale au niveau de l’interface, et non d’une faille de sécurité au niveau du protocole.
Décryptage du mécanisme d’attaque : comment une structure de tromperie à deux niveaux fabrique de faux comptes
Les attaquants utilisent les données de clés publiques, rendues publiques sur la blockchain, pour concevoir une architecture de tromperie en double.
Premier niveau : ajouter automatiquement l’utilisateur cible à un compte multisig forgé. Les attaquants lisent depuis la chaîne les clés publiques des utilisateurs Squads existants, et créent de façon programmée un nouveau compte multisig dont le membre cible est ajouté. Ainsi, le faux compte semble dans l’interface comme une organisation où l’utilisateur cible « participe légalement », ce qui réduit la vigilance de la victime.
Deuxième niveau : générer des adresses “prestige” dont le début et la fin entrent en collision exactement avec ceux de l’adresse réelle. Les attaquants effectuent un calcul de collision d’adresse afin de générer une clé publique dont les caractères de début et de fin sont parfaitement identiques à ceux de l’adresse multisig réelle de l’utilisateur. En combinant avec la habitude de la majorité des utilisateurs qui ne vérifient que les caractères de début et de fin, le faux compte obtient un taux de réussite de tromperie visuelle relativement élevé.
Squads déclare clairement que, via les méthodes ci-dessus, les attaquants ne peuvent pas accéder directement ni contrôler les fonds des utilisateurs. Tous les risques de perte proviennent des actions effectuées volontairement par l’utilisateur une fois trompé, et non d’une intrusion du protocole au niveau technique.
Les mesures de réponse par étapes de Squads
Bannière d’alerte immédiate : dans les deux heures suivant la détection de l’attaque, afficher dans l’interface une bannière d’avertissement d’attaque visant les comptes suspects
Alerte de compte non interactif : ajouter des indicateurs d’avertissement dédiés aux comptes multisig n’ayant jamais eu d’historique d’interaction avec l’utilisateur, afin de réduire le risque d’erreur de manipulation
Mise en ligne du mécanisme de liste blanche : dans les prochains jours, lancer un mécanisme de liste blanche permettant aux utilisateurs de marquer clairement les comptes multisig connus et de confiance ; le système filtrera automatiquement les comptes inconnus
Recommandations de protection immédiate de l’utilisateur : ignorer tous les comptes multisig qui n’ont pas été créés par vous-même et qui n’ont pas été explicitement ajoutés par des membres de confiance ; lors de la vérification d’une adresse, effectuer une comparaison complète caractère par caractère, sans se fier uniquement à une correspondance visuelle basée sur les caractères de début et de fin.
Contexte plus large : la menace d’ingénierie sociale dans l’écosystème Solana continue de s’intensifier
L’attaque d’empoisonnement d’adresse menée contre Squads fait partie d’une montée récente des menaces de cybersécurité par ingénierie sociale dans l’écosystème Solana. Auparavant, l’affaire de vol de 285 millions de dollars subie par le protocole Drift a été attribuée par les organismes d’enquête principalement à l’ingénierie sociale plutôt qu’à des défauts de code des smart contracts : les attaquants ont dépensé plusieurs mois en se faisant passer pour des sociétés de transactions légitimes, ont gagné progressivement la confiance et ont fini par obtenir des droits d’accès aux systèmes.
La Solana Foundation et Asymmetric Research ont lancé le plan de sécurité STRIDE afin d’assurer une surveillance continue et de remplacer les audits ponctuels traditionnels par des vérifications formelles, ainsi que de mettre en place un réseau de réponse aux incidents de Solana (SIRN) pour coordonner la gestion des crises en temps réel sur l’ensemble du réseau. Après l’affaire Drift, les multisig et les protocoles à forte valeur de l’écosystème font l’objet d’un examen de sécurité plus strict. Le modèle de réponse rapide de Squads fournit un modèle de référence pour la gestion des crises pour les autres protocoles de l’écosystème.
Questions fréquentes
Qu’est-ce qu’une attaque d’empoisonnement d’adresse ? En quoi le cas Squads est-il particulier ?
Une attaque d’empoisonnement d’adresse désigne généralement le fait pour un attaquant de créer une fausse adresse très similaire à l’adresse cible, afin d’amener les utilisateurs à commettre une erreur de manipulation. La particularité du cas Squads réside dans le fait que l’attaquant ne se contente pas de générer des adresses “prestige” dont les caractères de début et de fin entrent en collision : il ajoute aussi automatiquement l’utilisateur cible au compte multisig forgé, ce qui fait apparaître le faux compte comme une organisation légitime où l’utilisateur « y a déjà participé ». La couche de tromperie est donc plus complexe.
Le protocole multisig de Squads lui-même présente-t-il une faille de sécurité ?
Squads nie de manière explicite l’existence d’une faille de protocole. L’attaquant ne peut pas accéder aux fonds du compte multisig des utilisateurs existants via la technique d’empoisonnement d’adresse, et ne peut pas modifier les paramètres des membres déjà configurés du multisig. Cette attaque relève de l’ingénierie sociale au niveau de l’interface : elle repose sur le fait de tromper l’utilisateur pour qu’il commette des erreurs de manipulation de son propre chef, plutôt que sur une intrusion technique.
Comment les utilisateurs peuvent-ils identifier et se prémunir contre ce type d’attaque d’empoisonnement d’adresse ?
Il existe trois principes clés de protection : d’abord, ignorer tous les comptes multisig qui n’ont pas été créés par vous-même ou qui n’ont pas été ajoutés explicitement par des membres de confiance ; ensuite, effectuer une comparaison complète caractère par caractère lors de la vérification d’une adresse, sans se fier uniquement à une correspondance visuelle basée sur les caractères de début et de fin ; enfin, une fois que le mécanisme de liste blanche de Squads sera en ligne, marquer activement les comptes de confiance via la liste blanche pour améliorer la fiabilité de l’identification des comptes.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
L’ETF spot Solana enregistre 1,14 M$ de sorties nettes hier, FSOL progresse tandis que VSOL recule
Message de Gate News, 25 avril — Les ETF spot Solana ont enregistré une sortie nette combinée de 1,1364 million de dollars hier (24 avril), selon les données de SoSoValue.
Le Fidelity Solana Fund ETF (FSOL) a affiché une entrée nette sur une journée de 257 000 $ et a accumulé $158 millions de dollars d’entrées nettes historiques. VanEck Solana E
GateNewsIl y a 2h
Les ETF spot sur Solana aux États-Unis enregistrent 1,17 M$ de sorties nettes ; Fidelity FSOL affiche des entrées
Message d’actualité Gate News, 25 avril — D’après les données de SoSoValue, les ETF spot sur Solana aux États-Unis ont enregistré une sortie nette combinée de 1,1736 million de dollars hier (le 24 avril, ET).
Le FNB Fidelity Solana Fund (FSOL) a affiché une entrée nette quotidienne de 257 000 dollars, portant ses entrées nettes cumulées historiques à $158 million.
GateNewsIl y a 9h
Des acteurs du DeFi adressent une pétition à la SEC pour formaliser les directives d’interface alors qu’Ethereum propose une couche de confidentialité native
Message de Gate News, 24 avril — Le DeFi Education Fund (DEF) et 35 co-signataires, dont a16z crypto, Aptos Labs, Uniswap, Chainlink, Paradigm, Solana Policy Institute et Phantom, ont adressé une pétition à la Securities and Exchange Commission (SEC) pour qu’elle convertisse ses récentes directives du personnel concernant les interfaces DeFi en une procédure formelle d’élaboration de règles avec publication et commentaires. En parallèle, le développeur Ethereum Tom Lehman a publié une proposition préliminaire EIP-8182, qui appelle à intégrer directement dans le protocole Ethereum des transferts privés natifs.
Le 13 avril, la Division des opérations de marché de la SEC a publié une déclaration du personnel exemptant certains opérateurs d’interfaces de négociation de crypto de l’enregistrement en tant que courtiers. L’exemption couvre les opérateurs d’interfaces front-end se connectant à des protocoles DeFi où les utilisateurs contrôlent leurs propres fonds, permettant aux fournisseurs d’UI couverts de recevoir une rémunération fondée sur les transactions sans enregistrement.
Le DEF et ses co-signataires cherchent à verrouiller cette position par une élaboration formelle des règles afin d’empêcher qu’elle ne soit renversée par une SEC future avec des priorités politiques différentes. La déclaration intérimaire du personnel doit expirer au bout de cinq ans, à moins que la Commission ne la convertisse en règle. Les signataires ont averti que l’ambiguïté réglementaire pourrait entraver le développement de la blockchain et limiter l’accès des investisseurs au marché.
EIP-8182 propose d’ajouter un pool commun à l’abri directement dans Ethereum en tant que contrat système avec une vérification par preuve à connaissance nulle. Le pool n’aurait aucune clé d’administration, aucun jeton de gouvernance, et aucun mécanisme de mise à niveau en chaîne, et n’évoluerait que via le processus de hard fork d’Ethereum. Si elle est adoptée, la confidentialité native au niveau du protocole pourrait compliquer la capacité de la SEC à tracer des lignes réglementaires autour d’interfaces non dépositaires proposant des transferts privés comme fonctionnalité par défaut.
GateNewsIl y a 14h
Luck.io, le casino non dépositaire de Solana, ferme ; les utilisateurs invités à retirer leurs fonds immédiatement
Message de Gate News, 24 avril — Luck.io, une plateforme de casino non dépositaire construite sur Solana, a annoncé sa fermeture le 24 avril 2026, en exhortant tous les utilisateurs à retirer immédiatement leurs soldes des Smart Vaults. Les retraits peuvent être initiés via le site web luck.io ou via l’outil de retrait du Vault à
GateNewsIl y a 17h
XRP s’étend à Solana tandis que wXRP stimule l’accès à la DeFi
Principaux enseignements
Le XRP enveloppé sur Solana dépasse 834 000 tokens, permettant un nouvel accès à la DeFi tout en renforçant la liquidité inter-chaînes et en élargissant l’utilité du XRP au-delà de son registre natif.
Ethereum et Solana dominent l’activité DeFi, tandis que le XRP Ledger accuse un retard considérable, ce qui entraîne le besoin de
CryptoNewsLandIl y a 18h
XRP s’étend à Solana tandis que wXRP stimule l’accès à la DeFi
Principaux enseignements
Wrapped XRP sur Solana dépasse 834,000 jetons, permettant de nouveaux accès DeFi tout en renforçant la liquidité inter-chaînes et en élargissant l’utilité de XRP au-delà de son registre natif.
Ethereum et Solana dominent l’activité DeFi, tandis que le XRP Ledger accuse un retard nettement plus important, ce qui entraîne la nécessité de
CryptoNewsLandIl y a 18h
