Baru-baru ini, seorang pengguna mengunggah tentang kehilangan jutaan RMB dalam aset akibat penipuan phishing di Solana. Menurut deskripsi tersebut, ia secara tidak sengaja mengklik tautan yang diposting oleh kelompok phishing di bawah tweet dari proyek Maneki, sehingga mengarahkannya ke situs web palsu.

Yang membingungkannya adalah bahwa selama interaksi, situs web tidak terlihat memerlukan operasi otorisasi token apa pun, dan peretas berhasil mencuri aset secara langsung. Ketika dia menyadari mungkin ada masalah dengan situs web dan mencoba mentransfer token dari dompetnya untuk menghindari pencurian, dia menemukan bahwa beberapa upaya untuk mentransfer gagal, dan dia tidak dapat menarik asetnya lagi.

Karena terbatasnya detail yang diberikan, kami tidak dapat sepenuhnya mengembalikan adegan insiden. Namun, jelas bahwa pengguna kehilangan kendali atas akun maneki token, itulah sebabnya upaya untuk mentransfer aset dari dompetnya gagal. Pengguna yang terbiasa dengan EVM mungkin bingung tentang apa yang dimaksud dengan kendali akun.

Ini karena Solana menggunakan implementasi yang berbeda dari rantai EVM. Melanjutkan interaksi dengan Solana menggunakan kebiasaan dari EVM sama seperti menggunakan pedang yang sudah ketinggalan zaman untuk melawan pertempuran modern, yang tak terelakkan akan menyebabkan risiko signifikan.

untuk menikmati bermain di solana, sangat penting untuk memahami karakteristik solana dan taktik penipuan. karena itu, kami telah mengumpulkan beberapa metode serangan di solana yang berbeda dari yang ada di EVM, dengan harapan dapat membantu pengguna yang tidak terbiasa dengan solana menghindari jebakan.

1. cuckoo di sarang: transfer kepemilikan akun token

protagonis dari kasus pembukaan kami mengalami jenis serangan ini. dalam dompet solana, setiap token memiliki akun terpisah (akun token), mirip dengan cara rekening bank dapat memiliki akun terpisah untuk mata uang yang berbeda seperti RMB dan USD, yang saling independen. setiap akun token juga memiliki atribut kepemilikan.

secara default, pemilik akun token ditunjuk sebagai dompet saat ini. namun, ini tidak terkode keras. dengan memanggil operasi createsetauthorityinstruction, kepemilikan akun token dapat diubah. para peretas menggunakan operasi ini untuk menipu pengguna agar mentransfer kepemilikan akun token dari dompet mereka ke dompet peretas.

Setelah sukses, meskipun token masih berada di dompet, pengguna tidak dapat mentransfernya keluar, yang pada dasarnya sama saja dengan token dicuri.

karena tingginya risiko dari operasi ini, baik phantom maupun@Backpack_CNdompet memblokir dan memperingatkan pengguna tentang risiko transaksi, memerlukan konfirmasi kedua untuk transaksi tersebut, kecuali pengguna bersikeras menyetujuinya.

2. tidak diperlukan otorisasi awal untuk transaksi di solana

Pada EVM, kontrak phishing memerlukan pengguna untuk mengotorisasi kontrak pada kontrak token sebelum dapat mentransfer token dari dompet pengguna. Kontrak phishing hanya dapat menginisiasi transaksi untuk mentransfer aset pengguna setelah menerima otorisasi.

Namun, di Solana, "menyetujui" tidak berarti otorisasi melainkan persetujuan transaksi. Jika pengguna dengan salah memperlakukan ini sebagai langkah otorisasi dan menyetujuinya, transaksi phishing dikirimkan, meninggalkan sedikit peluang untuk pemulihan.

situasi yang lebih berbahaya adalah jika pengguna tertipu untuk memberi izin token pada evm, hanya token yang diizinkan yang terpengaruh, dan token lain yang tidak diizinkan tetap aman. pada solana, karena tidak diperlukan otorisasi dan hanya persetujuan pengguna yang diperlukan untuk mentransfer token, dikombinasikan dengan poin ketiga yang akan kita bahas selanjutnya, hal ini dapat mengakibatkan kerugian yang signifikan bagi pengguna.

3. hati-hati dengan upaya untuk mengalihkan beberapa token

Desain transaksi solana memungkinkan beberapa sub-transaksi dimasukkan dalam satu transaksi, dengan setiap sub-transaksi menyelesaikan interaksi tertentu, seperti transfer token tertentu. Dibandingkan dengan EVM, di mana transfer setiap token memerlukan transaksi terpisah, fitur solana ini memberikan beberapa kemudahan.

Sebagai contoh, dompet Anda mungkin berisi beberapa token dengan nilai yang sangat rendah, kurang dari 1 usd. sol-incinerator memanfaatkan fitur ini untuk memungkinkan pengguna mengirimkan token berharga kecil secara berkelompok dari dompet mereka dan mengonversinya kembali ke sol tanpa perlu konversi ganda, yang akan menghabiskan banyak gas dan menghemat waktu operasional.

meskipun fitur ini memberikan kemudahan, namun juga sangat memudahkan aktivitas peretasan. jika seorang peretas berhasil menipu seorang pengguna untuk mengonfirmasi transaksi, mereka dapat menguras dompet pengguna dari token, NFT, dan bahkan sol. oleh karena itu, jika Anda melihat transaksi yang melibatkan transfer banyak token, berhati-hatilah karena itu mungkin seorang peretas yang mencoba mengosongkan dompet Anda menggunakan fitur ini.

4. mencuri tanda tangan transaksi

di dalam ekosistem EVM, tanda tangan izin lebih disukai oleh kelompok phishing karena kehalusan dan fakta bahwa mereka tidak muncul di dompet pengesah. Saat ini, lebih dari setengah serangan phishing menggunakan metode ini. Di dunia Solana, ada metode serupa: nonce yang tahan lama.

nonce yang tahan lama berfungsi secara serupa dengan izin. jika pengguna tanpa sadar menandatangani transaksi, mereka tidak akan segera kehilangan aset atau melihat transaksi ini di dompet mereka. sebaliknya, informasi transaksi yang ditandatangani dikirim ke grup phishing, yang kemudian mengirimkan transaksi ke blockchain. karakteristik transaksi offline ini sama berbahayanya dengan izin.

karena solana dapat mensimulasikan hasil transaksi, durable nonce lebih mudah dibaca daripada permit, sehingga lebih mudah bagi pengguna untuk mengidentifikasinya. Namun, kelompok phishing telah menggabungkan durable nonce dengan upgrade kontrak untuk lebih efektif mencuri aset sambil mengabaikan peringatan simulasi transaksi.

Website phishing pertama berinteraksi dengan pengguna menggunakan kontrak normal tanpa transaksi berbahaya. Fitur simulasi transaksi dompet tidak menunjukkan masalah pada tahap ini. Setelah pengguna menyetujui transaksi, kelompok phishing tidak langsung menyiarkannya ke blockchain. Sebaliknya, mereka menunggu dan kemudian meningkatkan kontrak ke versi dengan kode berbahaya sebelum menyebarkannya. Pengguna kemudian tiba-tiba menemukan aset mereka hilang, seringkali beberapa hari setelah mereka menandatangani transaksi.

metode serangan yang ditingkatkan ini sangatlah menyelinap dan berbahaya. fungsi simulasi transaksi saat ini tidak dapat menampilkan risiko ini. oleh karena itu, sangat penting untuk menjaga kewaspadaan tinggi dan tidak terlalu bergantung pada peringatan perangkat lunak dompet atau secara buta percaya hasil simulasi transaksi.

kesimpulan

tujuan desain asli fitur-fitur ini adalah untuk menurunkan hambatan pengguna dan memberikan lebih banyak kenyamanan. Namun, seperti pedang bermata dua, teknologi baru juga memberikan kelompok-kelompok phishing dengan berbagai metode serangan yang lebih luas.

Baru saja sebelum menulis artikel ini, Solana merilis dua fitur baru: action dan blink. Sementara ada banyak antisipasi seputar fitur-fitur ini, beberapa juga telah memperingatkan tentang potensi kelompok-kelompok phishing untuk mengeksploitasi mereka.

Phishing pada Solana ditandai dengan operasi satu-klik dan keunggulan tinggi dalam menyamar. Karena tidak stabilnya rpc dan alasan lain, fungsi simulasi transaksi mungkin tidak selalu berfungsi, sehingga tidak sepenuhnya dapat diandalkan.

Disarankan bagi pengguna yang memiliki sarana untuk menggunakan dompet keras keystone untuk interaksi. Ini menambahkan lapisan konfirmasi tambahan, mencegah transaksi konfirmasi cepat yang disebabkan oleh dorongan atau klik keliru.

Selain itu, keystone mengurai transaksi di ujung perangkat keras. Dalam kasus di mana simulasi transaksi dompet perangkat lunak gagal, perangkat keras masih dapat mengurai konten transaksi, memberikan garis pertahanan terakhir.

Teknologi blockchain terus berubah dan berkembang. Saat kita khawatir tentang risiko yang terkait dengan teknologi baru, kita tidak bisa berhenti berprogress. Kelompok-kelompok phishing seperti hama yang ingin semua orang hilangkan, dan para profesional, termasuk produsen dompet hardware dan perusahaan keamanan, terus mengembangkan solusi untuk mengatasi ancaman baru.

sebagai pengguna biasa, penting bagi kita untuk mengingatkan diri sendiri agar tidak tergoda oleh "hadiah gratis" tetapi untuk memeriksa detail transaksi dengan cermat. Dengan tingkat kesadaran keamanan ini, upaya phishing jauh lebih tidak mungkin berhasil.

disclaimer：

1. artikel ini dicetak ulang dari [Keystone]. semua hak cipta milik penulis asli [ keystone]. jika ada keberatan terhadap cetakan ulang ini, silakan hubungi Belajar Gatetim, dan mereka akan menanganinya dengan segera.
2. penyangkalan tanggung jawab: pandangan dan pendapat yang terdapat dalam artikel ini sepenuhnya merupakan milik penulis dan tidak merupakan nasihat investasi.
3. terjemahan artikel ke dalam bahasa lain dilakukan oleh tim pembelajaran Gate. kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel-artikel terjemahan dilarang.