Son zamanlarda, bir kullanıcı solana üzerinde bir kimlik avı dolandırıcılığı nedeniyle milyonlarca rmb varlığını kaybettiği hakkında bir gönderi paylaştı. Açıklamaya göre, yanlışlıkla maneki projesinin bir tweeti altında bir kimlik avı grubu tarafından paylaşılan bir bağlantıya tıkladı ve onu sahte bir web sitesine yönlendirdi.

onu şaşırtan şey, etkileşim sırasında web sitesinin herhangi bir jeton yetkilendirme işlemi gerektirmediği ve hacker'ın varlıkları doğrudan çalmayı başardığıydı. Web sitesinde bir sorun olabileceğini fark ettiğinde ve hırsızlıkten kaçınmak için jetonları transfer etmeye çalıştığında, birden fazla transfer denemesinin başarısız olduğunu ve artık varlıklarını çekemeyeceğini fark etti.

Sağlanan sınırlı ayrıntılar nedeniyle, olay yerini tam olarak geri getiremiyoruz. Ancak, açık olan şey, kullanıcının cüzdanından varlıkları aktarma girişimlerinin başarısız olmasının nedeni olan maneki token hesabının kontrolünü kaybettiği. EVM'ye alışkın olan kullanıcılar hesap kontrolünün ne anlama geldiğinden şaşırmış olabilirler.

Bu, Solana'nın EVM zincirinden farklı bir uygulama kullandığı için olur. EVM'den alışkanlıklarla Solana ile etkileşime devam etmek, çağdışı bir kılıçla modern bir savaşa katılmak gibi, kaçınılmaz olarak önemli risklere yol açar.

Solana'da oynamaktan keyif almak için, Solana'nın karakteristiklerini ve dolandırıcılık taktiklerini anlamak önemlidir. Bu nedenle, EVM'den farklı olan Solana üzerindeki bazı saldırı yöntemlerini derledik, umarım Solana hakkında bilmeyen kullanıcıların tuzaklardan kaçınmasına yardımcı olur.

1. yuvasındaki koşkoca: belirteç hesap sahipliği transferi

açılış vakamızın baş kahramanı bu tür bir saldırıyla karşılaştı. Solana cüzdanında her tokenın ayrı bir hesabı (token hesabı) bulunur, benzer şekilde bir banka hesabının rmb ve usd gibi farklı para birimleri için ayrı hesapları olabilir, bunlar birbirinden bağımsızdır. Her token hesabının da bir sahiplik özelliği vardır.

Varsayılan olarak, bir token hesabının sahibi mevcut cüzdan olarak belirlenir. Ancak bu sert kodlu değildir. Createsetauthorityinstruction işlemini çağırarak, token hesabının sahipliği değiştirilebilir. Hacker'lar bu işlemi kullanarak kullanıcıları, token hesabının sahipliğini kendi cüzdanlarından hacker'ın cüzdanına aktarmaya ikna ederler.

Başarılı olduktan sonra, cüzdanın içindeki jetonlar hala olsa da, kullanıcı onları transfer edemez, bu aslında jetonların çalınmasıyla aynıdır.

bu işlemin yüksek riski nedeniyle, hem phantom hem de @Backpack_CNcüzdanlar, işlemin risklerini kullanıcılara bildirir ve işlem için ikinci bir onayı gerektirir, kullanıcı onaylamayı ısrar edene kadar.

Solana'da işlemler için ön izin gerekmez

EVM üzerinde, bir kimlik avı sözleşmesi, kullanıcının varlıklarını kullanıcının cüzdanından transfer etmeden önce sözleşmeyi token sözleşmesinde yetkilendirmesini gerektirir. Kimlik avı sözleşmesi, yetkilendirme alındıktan sonra kullanıcının varlıklarını transfer etmek için işlem başlatabilir.

ancak, solana'da "onay" yetki anlamına gelmez, ancak işlem onayı anlamına gelir. kullanıcı yanlışlıkla bunu yetkilendirme adımı olarak kabul eder ve onaylarsa, kimlik avı işlemi gönderilir ve kurtarma şansı çok azalır.

Daha tehlikeli bir durum, kullanıcının EVM üzerinde token yetkilendirmeye kandırılması durumunda ortaya çıkar; sadece yetkilendirilmiş token etkilenir ve diğer yetkilendirilmemiş tokenlar güvende kalır. Solana'da ise hiçbir yetkilendirme gerekmediğinden ve sadece token transferi için kullanıcı onayı gerektiğinden, bir sonraki tartışacağımız üçüncü nokta ile birleştiğinde kullanıcı için önemli kayıplara neden olabilir.

3. birden fazla token transfer etmeye ikna edilmemeye dikkat edin

Solana'nın işlem tasarımı, her biri belirli bir jetonun transferini tamamlayan her bir alt işlemin tek bir işlem içinde yer almasına izin verir. Her bir jetonun transferi için ayrı bir işlem gerektiren EVM'ye kıyasla, Solana'nın bu özelliği bazı kolaylıklar sağlar.

Örneğin, cüzdanınızda 1 USD'den daha az değere sahip bazı jetonlar bulunabilir. Sol-incinerator, kullanıcılara cüzdanlarından küçük değerli jetonları toplu olarak göndermelerine ve bunları birden fazla dönüşüme ihtiyaç duymadan Solana'ya dönüştürmelerine olanak tanıyan bu özelliği kullanır. Bu, birçok gaz tüketen ve işletme süresini kurtaran birden fazla dönüşüm gerektirmez.

bu özellik kolaylık sağlasa da, aynı zamanda büyük ölçüde hack faaliyetlerine olanak tanır. Bir hacker’ın bir kullanıcıyı bir işlemi onaylamaya ikna etmesi başarılı olursa, kullanıcının cüzdanını jetonlar, nft’ler ve hatta Sol ile boşaltabilirler. Bu nedenle, birçok jetonun transferini içeren bir işlem görürseniz, bu özelliği kullanarak cüzdanınızı boşaltmaya çalışan bir hacker olabileceğinden dikkatli olun.

4. işlem imzalarını çalmak

EVM ekosisteminde, izin imzaları kimlik avı grupları tarafından gizlilikleri ve yetkilendiricinin cüzdanında görünmemeleri nedeniyle tercih edilmektedir. Şu anda, kimlik avı saldırılarının yarısından fazlası bu yöntemi kullanmaktadır. Solana dünyasında benzer bir yöntem bulunmaktadır: dayanıklı nonce.

Dayanıklı nonce işlevleri izin verilen şekilde benzer bir şekilde çalışır. Bir kullanıcı yanlışlıkla bir işlem imzalarsa, varlıklarını hemen kaybetmez veya bu işlemi cüzdanlarında görmezler. Bunun yerine, imzalı işlem bilgileri kimlik avı grubuna gönderilir, onlar da işlemi blok zincirine gönderir. Bu çevrimdışı işlem özelliği, izin verildiği kadar tehlikelidir.

solana, işlem sonuçlarını simüle edebildiğinden, dayanıklı nonce, izin vermekten daha okunaklıdır, bu da kullanıcıların tanımlamayı daha kolay hale getirir. Ancak, kimlik avı grupları, dayanıklı nonce'u sözleşme güncellemeleriyle birleştirerek işlem simülasyon uyarılarını atlayarak varlıkları daha etkili bir şekilde çalmaktadır.

Kimlik avı web siteleri önce zararlı işlemler olmadan normal sözleşmeler kullanarak kullanıcılarla etkileşime girer. Cüzdanın işlem simulasyon özelliği bu aşamada herhangi bir sorun göstermez. Kullanıcı işlemi onayladıktan sonra kimlik avı grubu hemen blokzincirine yayınlamaz. Bunun yerine bekler ve daha sonra zararlı kod içeren bir sürüme yükseltir ve yayınlamadan önce. Kullanıcı daha sonra aniden varlıklarının eksik olduğunu fark eder, genellikle işlemi imzaladıktan günler sonra.

bu yükseltilmiş saldırı yöntemi son derece gizli ve zararlıdır. mevcut işlem simülasyon fonksiyonları bu riski gösteremez. bu nedenle, yüksek bir dikkat gereklidir ve cüzdan yazılım uyarılarına aşırı güvenmemek veya işlem simülasyon sonuçlarına körü körüne güvenmemek son derece önemlidir.

sonuç

bu özelliklerin orijinal tasarım amacı kullanıcı engellerini düşürmek ve daha fazla kolaylık sağlamaktı. ancak, çift taraflı bir kılıç gibi, yeni teknolojiler aynı zamanda kimlik avı gruplarına daha geniş bir saldırı yöntemi yelpazesi sağladı.

Bu makaleyi yazmadan hemen önce, Solana iki yeni özellik olan action ve blink'i piyasaya sürdü. Bu özelliklerle ilgili büyük bir beklenti varken, bazıları aynı zamanda kimlik avı gruplarının bunları sömürme potansiyeline karşı uyardı.

Solana'da kimlik avı, tek tıklamayla işlemler ve yüksek gizlilik ile karakterizedir. RPC kararsızlığı ve diğer nedenlerden dolayı, işlem simülasyon fonksiyonları her zaman çalışmayabilir, bu nedenle tamamen güvenilir olamazlar.

Etkileşimler için bir keystone donanım cüzdanı kullanmak için olanakları olan kullanıcılara önerilir. Bu, dürtü veya yanlış tıklamalardan kaynaklanan hızlı onay işlemlerini önleyen ek bir onay katmanı ekler.

ek olarak, keystone işlemleri donanım tarafında ayrıştırır. Yazılım cüzdanı işlem simülasyonlarının başarısız olduğu durumlarda, donanım hala işlem içeriğini ayrıştırabilir, son savunma hattını sağlayarak.

blok zincir teknolojisi sürekli evrim geçiriyor ve dönüşüyor. yeni teknolojilerle ilişkili risklerle ilgilendiğimiz sürece, ilerlemeyi durdurma lüksümüz yok. Kimlik avı grupları, herkesin ortadan kaldırmak istediği haşereler gibidir ve donanım cüzdanı üreticileri ve güvenlik şirketleri de dahil olmak üzere profesyoneller, yeni tehditlere karşı çözümler geliştirmeye devam ediyor.

Sıradan kullanıcılar olarak, “ücretsiz hediyeler” tarafından kandırılmamak, ancak işlem ayrıntılarını dikkatlice incelemek önemlidir. Bu düzeyde güvenlik farkındalığıyla, kimlik avı girişimlerinin başarılı olma olasılığı çok daha düşüktür.

uyarı:

1. bu makale [den tekrar basıldıKeystone]. tüm telif hakları orijinal yazarına aittir [keystone]. bu yeniden basım konusunda itirazlarınız varsa, lütfen iletişime geçin Gate öğrenmekekip, ve onlar hızla ele alacaklar.
2. sorumluluk reddi: bu makalede ifade edilen görüşler yalnızca yazarın görüşleridir ve herhangi bir yatırım tavsiyesi teşkil etmez.
3. Makalenin çevirileri diğer dillerle, Gate öğrenme ekibi tarafından yapılmaktadır. Belirtilmediği sürece, çevrilen makaleleri kopyalamak, dağıtmak veya kopya çekmek yasaktır.