Récemment, un utilisateur a publié avoir perdu des millions de RMB d'actifs en raison d'une escroquerie de phishing sur Solana. Selon la description, il a cliqué par erreur sur un lien publié par un groupe de phishing sous un tweet du projet Maneki, ce qui l'a conduit vers un site Web frauduleux.

Ce qui l'a intrigué, c'est qu'au cours de l'interaction, le site Web ne semblait pas nécessiter d'opération d'autorisation de jeton, et le pirate a réussi à voler directement les actifs. Lorsqu'il a réalisé qu'il pourrait y avoir un problème avec le site Web et a tenté de transférer des jetons depuis son portefeuille pour éviter le vol, il a constaté que plusieurs tentatives de transfert échouaient et qu'il ne pouvait plus retirer ses actifs.

En raison des détails limités fournis, nous ne pouvons pas entièrement reconstituer la scène de l'incident. Cependant, il est clair que l'utilisateur a perdu le contrôle du compte de jeton maneki, c'est pourquoi les tentatives de transférer des actifs depuis son portefeuille ont échoué. Les utilisateurs habitués à EVM pourraient être confus quant à la signification du contrôle du compte.

Cela est dû au fait que Solana utilise une implémentation différente de la chaîne EVM. Continuer à interagir avec Solana en utilisant les habitudes de la chaîne EVM revient à utiliser une épée obsolète pour combattre une bataille moderne, ce qui entraîne inévitablement des risques importants.

Pour profiter de jouer sur Solana, il est essentiel de comprendre les caractéristiques de Solana et les tactiques frauduleuses. Pour cette raison, nous avons compilé certaines des méthodes d'attaque sur Solana qui diffèrent de celles sur l'EVM, espérant aider les utilisateurs peu familiers avec Solana à éviter les pièges.

1. Coucou dans le nid : transfert de propriété du compte de jetons

le protagoniste de notre affaire d'ouverture a rencontré ce type d'attaque. dans un portefeuille solana, chaque jeton a un compte séparé (compte de jeton), similaire à la façon dont un compte bancaire peut avoir des comptes séparés pour différentes devises comme le RMB et l'USD, qui sont indépendants les uns des autres. chaque compte de jeton a également un attribut de propriété.

Par défaut, le propriétaire d'un compte de jetons est désigné comme le portefeuille actuel. Cependant, cela n'est pas codé en dur. En appelant l'opération createsetauthorityinstruction, la propriété du compte de jetons peut être modifiée. Les pirates utilisent cette opération pour tromper les utilisateurs en transférant la propriété d'un compte de jetons de leur portefeuille vers le portefeuille du pirate.

une fois réussi, même si les jetons sont toujours dans le portefeuille, l'utilisateur ne peut pas les transférer, ce qui revient essentiellement à se faire voler les jetons.

en raison du risque élevé de cette opération, à la fois fantôme et @Backpack_CNLes portefeuilles interceptent et avertissent les utilisateurs des risques de la transaction, exigeant une deuxième confirmation pour la transaction, à moins que l'utilisateur n'insiste pour l'approuver.

2. aucune pré-autorisation requise pour les transactions sur Solana

Sur EVM, un contrat de phishing nécessite que l'utilisateur autorise le contrat sur le contrat de jeton avant de pouvoir transférer des jetons depuis le portefeuille de l'utilisateur. Le contrat de phishing ne peut initier la transaction de transfert des actifs de l'utilisateur qu'après avoir reçu l'autorisation.

Cependant, sur Solana, "approuver" ne signifie pas autorisation mais plutôt approbation de transaction. Si l'utilisateur le traite par erreur comme l'étape d'autorisation et l'approuve, la transaction de phishing est envoyée, laissant peu de chances de récupération.

Une situation plus dangereuse est si l'utilisateur est trompé en autorisant des jetons sur EVM, seul le jeton autorisé est affecté, et les autres jetons non autorisés restent en sécurité. Sur Solana, comme aucune autorisation n'est requise et seule l'approbation de l'utilisateur est nécessaire pour transférer des jetons, combinée au troisième point que nous aborderons ensuite, cela pourrait entraîner des pertes importantes pour l'utilisateur.

3. méfiez-vous d'être incité à transférer plusieurs jetons

La conception des transactions de Solana permet d'inclure plusieurs sous-transactions dans une seule transaction, chaque sous-transaction réalisant une interaction spécifique, comme le transfert d'un jeton particulier. Par rapport à l'EVM, où le transfert de chaque jeton nécessite une transaction distincte, cette fonctionnalité de Solana offre une certaine commodité.

Par exemple, votre portefeuille peut contenir des jetons d'une très faible valeur, inférieure à 1 USD. Sol-incinerator utilise cette fonctionnalité pour permettre aux utilisateurs d'envoyer en lot des jetons de faible valeur depuis leur portefeuille et de les convertir en sol sans avoir besoin de multiples conversions, ce qui consommerait beaucoup de gaz et économiserait du temps d'exploitation.

Bien que cette fonctionnalité offre de la commodité, elle facilite également grandement les activités de piratage. Si un pirate réussit à tromper un utilisateur pour qu'il confirme une transaction, il peut vider le portefeuille de l'utilisateur de jetons, de NFT et même de Sol. Par conséquent, si vous voyez une transaction impliquant le transfert de nombreux jetons, soyez prudent car il pourrait s'agir d'un pirate tentant de vider votre portefeuille en utilisant cette fonctionnalité.

4. vol de signatures de transaction

Dans l'écosystème EVM, les signatures de permis sont préférées par les groupes de phishing en raison de leur discrétion et du fait qu'elles n'apparaissent pas dans le portefeuille de l'auteur. Actuellement, plus de la moitié des attaques de phishing utilisent cette méthode. Dans le monde Solana, il existe une méthode similaire: le nonce durable.

les fonctions de nonce durables fonctionnent de manière similaire à permit. si un utilisateur signe involontairement une transaction, il ne perdra pas immédiatement ses actifs ou ne verra pas cette transaction dans son portefeuille. au lieu de cela, les informations de transaction signées sont envoyées au groupe de phishing, qui soumet ensuite la transaction à la blockchain. cette caractéristique de transaction hors ligne est tout aussi dangereuse que permit.

Étant donné que Solana peut simuler les résultats des transactions, le nonce durable est plus lisible que le permit, ce qui facilite l'identification pour les utilisateurs. Cependant, les groupes de phishing ont combiné le nonce durable avec les mises à niveau de contrat pour voler plus efficacement les actifs tout en contournant les avertissements de simulation de transaction.

Les sites de phishing interagissent d'abord avec les utilisateurs en utilisant des contrats normaux sans transactions malveillantes. La fonction de simulation de transaction du portefeuille ne montre aucun problème à ce stade. Une fois que l'utilisateur approuve la transaction, le groupe de phishing ne la diffuse pas immédiatement sur la blockchain. Au lieu de cela, ils attendent et mettent à niveau ultérieurement le contrat vers une version contenant un code malveillant avant de le diffuser. L'utilisateur découvrira alors soudainement que ses actifs ont disparu, souvent plusieurs jours après avoir signé la transaction.

cette méthode d'attaque améliorée est extrêmement furtive et nocive. les fonctions actuelles de simulation de transaction ne peuvent pas afficher ce risque. Il est donc crucial de maintenir une vigilance élevée et de ne pas trop compter sur les avertissements du logiciel de portefeuille ou de faire confiance aveuglément aux résultats de la simulation de transaction.

conclusion

Le but initial de ces fonctionnalités était de réduire les obstacles pour l'utilisateur et de fournir plus de commodité. Cependant, comme une épée à double tranchant, les nouvelles technologies ont également fourni aux groupes de phishing une plus large gamme de méthodes d'attaque.

Juste avant d'écrire cet article, Solana a publié deux nouvelles fonctionnalités : Action et Blink. Bien qu'il y ait beaucoup d'anticipation autour de ces fonctionnalités, certains ont également mis en garde contre le potentiel d'exploitation de ces fonctionnalités par des groupes de phishing.

Le hameçonnage sur Solana se caractérise par des opérations en un seul clic et une grande discrétion. En raison de l'instabilité du RPC et d'autres raisons, les fonctions de simulation de transaction peuvent ne pas toujours fonctionner, il ne faut donc pas s'y fier entièrement.

Il est recommandé aux utilisateurs ayant les moyens d'utiliser un portefeuille matériel Keystone pour les interactions. Cela ajoute une couche supplémentaire de confirmation, empêchant les transactions de confirmation rapide causées par l'impulsion ou les clics accidentels.

De plus, Keystone analyse les transactions du côté matériel. Dans les cas où les simulations de transaction du portefeuille logiciel échouent, le matériel peut toujours analyser le contenu de la transaction, offrant ainsi la dernière ligne de défense.

La technologie de la blockchain évolue et se transforme constamment. Alors que nous nous inquiétons des risques associés aux nouvelles technologies, nous ne pouvons pas nous permettre de cesser de progresser. Les groupes de phishing sont comme des parasites que tout le monde veut éliminer, et les professionnels, y compris les fabricants de portefeuilles matériels et les sociétés de sécurité, développent continuellement des solutions pour contrer les nouvelles menaces.

En tant qu'utilisateurs ordinaires, il est essentiel de nous rappeler de ne pas être attirés par les "cadeaux gratuits" mais d'examiner attentivement les détails de la transaction. Avec ce niveau de conscience de la sécurité, les tentatives de phishing ont beaucoup moins de chances de réussir.

avertissement：

1. Cet article est reproduit à partir de [Keystone]. tous les droits d'auteur appartiennent à l'auteur original [clé de voûte]. s'il y a des objections à cette réimpression, veuillez contacter le Porte apprendreéquipe, et ils s'en occuperont rapidement.
2. avertissement de responsabilité : les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
3. les traductions de l'article dans d'autres langues sont réalisées par l'équipe Gate learn. Sauf indication contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.