Недавно пользователь написал о потере миллионов юаней из-за фишинговой аферы на Solana. По его описанию, он по ошибке перешел по ссылке, опубликованной фишинговой группой под твитом проекта Maneki, что привело его на мошеннический веб-сайт.

то, что его смутило, заключалось в том, что во время взаимодействия на сайте не требовалась никакая операция авторизации токенов, и хакеру удалось прямо украсть активы. Когда он понял, что на сайте может быть проблема, и попытался перевести токены со своего кошелька, чтобы избежать кражи, он обнаружил, что несколько попыток перевода не удалось, и он больше не может вывести свои активы.

из-за ограниченной информации, предоставленной, мы не можем полностью воссоздать сцену инцидента. однако ясно, что пользователь потерял контроль над аккаунтом токенов манэки, поэтому попытки передачи активов из его кошелька не удалось. Пользователи, привыкшие к EVM, могут быть смущены тем, что означает контроль над аккаунтом.

Это происходит потому, что Solana использует реализацию, отличную от цепи EVM. Продолжение взаимодействия с Solana, используя привычки от EVM, подобно использованию устаревшего меча в современной битве и, неизбежно, приводит к значительным рискам.

чтобы наслаждаться игрой на Solana, важно понимать особенности Solana и мошеннические тактики. По этой причине мы составили список некоторых методов атак на Solana, отличающихся от методов на EVM, надеясь помочь пользователям, незнакомым с Solana, избежать подводных камней.

1. cuckoo in the nest: передача владения токенов на счете

протагонист нашего открывающего дела столкнулся с таким типом атаки. в кошельке Solana каждый токен имеет отдельный счет (токен-счет), подобно тому, как в банковском счете могут быть отдельные счета для разных валют, таких как RMB и USD, которые независимы друг от друга. каждый токен-счет также имеет атрибут владения.

По умолчанию владельцем учетной записи токена является текущий кошелек. Однако это не закодировано жестко. Вызывая операцию createsetauthorityinstruction, можно изменить владение учетной записью токена. Хакеры используют эту операцию, чтобы обмануть пользователей, переведя владение учетной записью токена с их кошелька на кошелек хакера.

После успешной операции, даже если токены остаются в кошельке, пользователь не может их перевести, что фактически равносильно краже токенов.

из-за высокого риска этой операции, как фантом, так и@Backpack_CNкошельки перехватывают и предупреждают пользователей о рисках транзакции, требуя второго подтверждения для транзакции, если пользователь настаивает на ее утверждении.

2. на Solana не требуется предварительная авторизация для транзакций

на EVM фишинговый контракт требует от пользователя авторизации контракта на токен, прежде чем он сможет передавать токены с кошелька пользователя. фишинговый контракт может инициировать транзакцию по передаче активов пользователя только после получения авторизации.

однако на solana "approve" не означает авторизацию, а скорее утверждение транзакции. если пользователь ошибочно рассматривает это как шаг авторизации и утверждает его, фишинговая транзакция отправляется, оставляя мало шансов на восстановление.

еще более опасной ситуацией является случай, когда пользователь обманывается в авторизации токенов на evm, только авторизованный токен подвергается воздействию, а другие неавторизованные токены остаются безопасными. на solana, поскольку авторизация не требуется, и для передачи токенов требуется только одобрение пользователя, в сочетании с третьей точкой, о которой мы обсудим далее, это может привести к значительным потерям для пользователя.

3. остерегайтесь попыток перевода нескольких токенов

дизайн транзакции Solana позволяет включать несколько подтранзакций в одну транзакцию, причем каждая подтранзакция завершает взаимодействие, такое как перевод определенного токена. По сравнению с EVM, где для перевода каждого токена требуется отдельная транзакция, эта функция Solana предоставляет некоторое удобство.

например, ваш кошелек может содержать некоторые токены с очень низкой стоимостью, менее 1 доллара США. Sol-incinerator использует эту функцию, чтобы позволить пользователям пакетно отправлять токены малой стоимости со своего кошелька и конвертировать их обратно в Sol, не требуя множественных конверсий, которые потребляют много газа и экономят время операций.

Хотя эта функция обеспечивает удобство, она также значительно облегчает хакерские действия. Если хакеру удастся обмануть пользователя и подтвердить транзакцию, он может вывести токены, NFT и даже SOL из кошелька пользователя. Поэтому, если вы видите транзакцию, включающую передачу многих токенов, будьте осторожны, так как это может быть попытка хакера опустошить ваш кошелек с использованием этой функции.

4. кража подписей транзакций

в экосистеме evm пермитные подписи пользуются популярностью среди групп фишинга из-за своей скрытности и того факта, что они не отображаются в кошельке авторизатора. в настоящее время более половины фишинговых атак используют этот метод. в мире solana существует аналогичный метод: прочный nonce.

Прочные функции nonce работают аналогично разрешению. Если пользователь ненамеренно подписывает транзакцию, он не немедленно потеряет активы или увидит эту транзакцию в своем кошельке. Вместо этого информация о подписанной транзакции отправляется группе фишинга, которая затем подает транзакцию в блокчейн. Эта характеристика офлайн-транзакции так же опасна, как и разрешение.

поскольку solana может имитировать результаты транзакций, долговременный номер более читаем, чем разрешение, что делает его более удобным для пользователей для идентификации. однако фишинговые группы объединили долговременный номер с обновлениями контрактов, чтобы более эффективно красть активы, обходя предупреждения о имитации транзакций.

Фишинговые веб-сайты сначала взаимодействуют с пользователями, используя обычные контракты без вредоносных транзакций. Функция моделирования транзакций кошелька на этой стадии не показывает проблем. Как только пользователь утверждает транзакцию, фишинговая группа не сразу транслирует ее в блокчейн. Вместо этого они ждут и затем обновляют контракт до версии с вредоносным кодом перед трансляцией. Пользователь затем внезапно обнаруживает, что его активы пропали, часто дни спустя после подписания транзакции.

этот улучшенный метод атаки чрезвычайно скрытный и вредоносный. текущие функции симуляции транзакций не могут отображать этот риск. поэтому важно поддерживать высокую бдительность и не полагаться слишком сильно на предупреждения программного обеспечения кошелька или слепо доверять результатам симуляции транзакций.

заключение

первоначальная цель разработки этих функций была снижение барьеров для пользователей и предоставление большего удобства. однако, подобно двуручному мечу, новые технологии также предоставили группам фишинга широкий спектр методов атаки.

непосредственно перед написанием этой статьи solana выпустила две новые функции: action и blink. в то время как вокруг этих функций существует большое ожидание, некоторые также предупредили о потенциале для групп фишинга эксплуатировать их.

Фишинг на Solana характеризуется однокликными операциями и высокой скрытностью. Из-за нестабильности RPC и других причин функции симуляции транзакций не всегда могут работать, поэтому на них нельзя полностью полагаться.

Рекомендуется использовать аппаратный кошелек Keystone для взаимодействия с системой пользователям, у которых есть такая возможность. Это добавляет дополнительный уровень подтверждения и предотвращает быстрые подтверждения транзакций, вызванные импульсами или случайными нажатиями.

Кроме того, ключевой элемент анализирует транзакции на аппаратном уровне. В случаях, когда симуляции транзакций программного кошелька завершаются неудачей, аппарат все еще может проанализировать содержимое транзакции, обеспечивая последнюю линию защиты.

Технология блокчейн постоянно развивается и трансформируется. В то время как мы беспокоимся о рисках, связанных с новыми технологиями, мы не можем позволить себе прекратить прогресс. Группы, занимающиеся фишингом, как вредители, которых все хотят устранить, и профессионалы, включая производителей аппаратных кошельков и компании по безопасности, постоянно разрабатывают решения для противодействия новым угрозам.

как обычным пользователям, важно напомнить себе не поддаваться на "бесплатные подарки", а тщательно изучать детали транзакций. с таким уровнем осведомленности о безопасности, попытки фишинга гораздо меньше шансов на успех.

disclaimer：

1. эта статья перепечатана из [ Кейстоун]. все права принадлежат оригинальному автору [Ключевой камень]. если есть возражения к этому переизданию, пожалуйста, свяжитесь с Gate учитькоманда и они быстро решат эту проблему.
2. отказ от ответственности: мнения и взгляды, выраженные в этой статье, являются исключительно мнениями автора и не являются инвестиционными советами.
3. переводы статьи на другие языки выполняются командой Gate learn. если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.