Được viết bởi: Go+Security
Gần đây, giá trị vốn hóa thị trường của Solana đã tăng vọt, từng vượt qua BNB và đứng trong top 3 thế giới. Hiệu ứng tài sản khổng lồ đã thu hút lượng lớn người chơi hoạt động tích cực, đồng thời cũng thu hút lượng lớnWallet Drainer (Phishing ví). các băng đảng chuyển từ Chuỗi EVM sang Solana . Các website Phishing nhắm vào Solana , lừa đảo Airdrop đã bắt đầu triển khai trên diện rộng, gây thiệt hại nặng nề cho lượng lớn người dùng. Gần đây, đội ngũ bảo mật GoPlus đã phân tích một số vụ Phishing Solana và phát hiện ra rằng các nhóm lừa đảo đã lợi dụng cơ sở hạ tầng bảo mật hoàn thiện hiện tại của một số ví Solana để nhanh chóng nâng cấp lừa đảo airdrop và thực hiện hành vi trộm cắp tài khoản xã hội. Về vấn đề này, GoPlus đã tóm tắt những điểm phổ biến sau đây. Phishing Solana giúp người dùng tránh được các sự cố Phishing liên quan một cách hiệu quả và giảm tổn thất tài sản.
Kiểu tấn công
Trong một số vụ Phishing gần đây, GoPlus phát hiện ra rằng hầu hết các nhóm Phishing đều sử dụng "lừa dối lĩnh nhận airdrop" , "trang web dự án giả mạo" , "rút thăm miễn phí" , "hướng dẫn nhập thông qua airdrop NFT" , v.v. Các phương pháp này tương tự như một số phương pháp phổ biến Các phương thức hướng dẫn Phishing của EVM gần như giống nhau. Điểm khác biệt chính là những kẻ lừa đảo sử dụng các cơ chế khác nhau của Solana và EVM để thực hiện các hoạt động Phishing theo các cách "chuyển token hoặc ủy quyền" khác nhau. Dưới đây là một số cuộc tấn công đánh lạc hướng khác nhau mà chúng tôi đã quan sát thấy.
Kích thích chuyển mã Token gốc Sol
Kiểu tấn công này là đơn giản nhất. Sau khi người dùng liên kết ví, đội ngũ lừa đảo sẽ tính toán số dư hiện tại của tất cả $SOL ở giao diện người dùng và sử dụng chức năng SystemProgram.transfer để trực tiếp hoàn tất việc chuyển token bằng cách sử dụng. một Phishing nhất định. Ví dụ: trang web này hiển thị giao diện Giao diện người dùng Swap . Người dùng thường nghĩ rằng họ có thể mua một token nhất định ở mức giá thấp.
Nhưng những gì thực sự được thực thi chỉ là chuyển giao đơn giản $SOL
Kích thích chuyển nhiều token
Ngoài việc đánh cắp Token gốc$SOL, những kẻ lừa đảo còn có thể đánh cắp tất cả tài sản Mã thông báo hiện do ví nắm giữ trong cùng một chữ ký giao dịch. Mỗi giao dịch trên Solana có thể bao gồm nhiều hướng dẫn, mỗi hướng dẫn có thể hoàn thành một logic riêng biệt, chẳng hạn như chuyển khoản, tương tác chương trình, tạo tài khoản, v.v. Điều này có nghĩa là nhóm Phishing hoàn toàn có khả năng chèn nhiều hướng dẫn thao tác vào cùng một giao dịch. Ví dụ: nếu người dùng nắm giữ ba Token khác nhau thì trang web Phishing chỉ cần chèn nhiều hướng dẫn thao tác vào cùng một giao dịch trong mã. chèn hướng dẫn chuyển tương ứng cho ba Token. Bằng cách này, không cần phải lừa gạt một tài sản nhất định một cách riêng biệt mà tính năng này có thể được sử dụng để hoàn thành vụ cướp ví một lần. Giống như lần xúi giục đầu tiên, hacker cũng sử dụng nhiều cách khác nhau để lừa người dùng nhấn vào nút để thực hiện giao dịch. Chúng ta có thể thấy rằng loại giao dịch này sẽ chuyển tất cả tài sản cùng một lúc, bao gồm không chỉ token gốc $SOL mà còn cả các loại Tài sản NFT. cũng bao gồm tài sản loại token . Đội ngũ lừa đảo ở đây chủ yếu sử dụng createTransferCheckedInstruction của Solana SPL Token để hoàn thành cấu trúc hướng dẫn chuyển tài sản không phải gốc.
Mô phỏng giao dịch ảo
Mô phỏng giao dịch ba lô
Kích thích chuyển quyền sở hữu tài khoản token
Ngoài token trực tiếp, GoPlus còn phát hiện ra rằng một số trang web Phishing sử dụng hoạt động createSetAuthorityInstruction để đóng gói các hướng dẫn vào các giao dịch. Bản chất của hoạt động này là chuyển quyền sở hữu mã thông báo trên mô hình tài khoản của Solana khác với EVM. địa chỉ tài khoản sẽ có Tài khoản Token chuyên dụng tương ứng với từng Token. Tài khoản Token sẽ có chủ sở hữu và chủ sở hữu là tài khoản hiện tại. Tài khoản Token cũng ghi lại số dư và các thông tin liên quan của Token tương ứng. Hoạt động createSetAuthorityInstruction có thể chuyển trực tiếp quyền sở hữu token hiện tại sang tài khoản khác. Hiệu ứng cuối cùng thực tế tương đương với việc chuyển tất cả token sang tài khoản. Chúng tôi đã tiến hành thử nghiệm hoạt động này lần lượt trên Phantom và Backpack . May mắn thay, cả hai ví đều cung cấp những lời nhắc và cảnh báo đặc biệt.
Ngay cả khi người dùng nhấn tùy chọn Bỏ qua và tiếp tục , sự thay đổi số dư vẫn có thể được hiển thị thông qua mô phỏng giao dịch.
Để ý
Ba loại phương thức tấn công trên hiện được hầu hết Solana chính thống sử dụng để dự đoán kết quả thông qua mô phỏng giao dịch. Người dùng có thể thấy rõ sự thay đổi số dư sau khi nhấn , miễn là người dùng kiên nhẫn và kiểm tra cẩn thận từng thay đổi giao dịch. Rủi ro Phishing có thể tránh được tương đối vì giao diện JSON RPC chính thức của Solana có thể cung cấp khả năng "mô phỏng giao dịch" . Tuy nhiên, với nâng cấp công nghệ lừa Phishing , chúng tôi cũng đã phát hiện ra một số kỹ thuật Phishing rất tinh vi.
Ủy quyền token lừa đảo
Đối với người dùng quen thuộc với EVM, ủy quyền token là một thao tác phổ biến, nhưng trên Solana , thao tác này lại khác. Trong mạng Solana , những kẻ lừa đảo sẽ lợi dụng sự hiểu lầm của người dùng về cơ chế ủy quyền EVM để thực hiện hành vi lừa đảo. Trang web Phishing khuyến khích người dùng thực hiện các tương tác tưởng chừng như bình thường nhưng thực tế lại thực hiện giao dịch được ủy quyền thông qua createApproveCheckedInstruction ở hậu trường. Chìa khóa của kỹ thuật này là nó không chuyển tài sản trực tiếp mà cho phép kẻ tấn công kiểm soát tài sản của người dùng. Kiểu tấn công này thường ẩn sau một giao diện tương tác hấp dẫn, chẳng hạn như giả vờ bỏ phiếu, cam kết, v.v., nhưng thực chất là âm thầm thay đổi cài đặt ủy quyền của tài khoản.
Khi kẻ tấn công giành được quyền kiểm soát tài sản của người dùng, chúng có thể thao túng tài sản bất cứ lúc nào, bao gồm cả việc chuyển nhượng hoặc giao dịch chúng. Kiểu tấn công này thường khó phát hiện kịp thời vì nó không dẫn đến việc chuyển giao tài sản ngay lập tức. Kiểu tấn công này thường có tác động rộng nhất, vì kẻ tấn công sẽ đợi cho đến khi đủ số lượng người dùng bị lừa và số tiền đủ lớn trước khi chúng bắt đầu chuyển token . Người dùng cần đặc biệt lưu ý rằng mọi yêu cầu thay đổi cài đặt ủy quyền đều phải là nguyên nhân đáng báo động, đặc biệt là trên các trang web hoặc ứng dụng không quen thuộc. Các thay đổi về ủy quyền có thể được nhìn thấy thông qua mô phỏng giao dịch, vì vậy bạn không chỉ cần chú ý đến những thay đổi trực tiếp số dư token mà còn phải cẩn thận với rủi ro Phishing do thay đổi ủy quyền gây ra.
Bền Nonce để lừa đảo chữ ký giao dịch
Bền Nonce là một tính năng trong blockchain Solana cho phép tạo một tài khoản đặc biệt để lưu trữ giá trị nonce bền vững không hết hạn. Trong Solana , mỗi giao dịch yêu cầu một blockhash gần đây như một phần của giao dịch, được sử dụng để đảm bảo tính kịp thời và tính duy nhất của giao dịch. Thông thường, hàm băm khối này hết hạn sau khoảng 150 khối, khiến các giao dịch không được xử lý. Cơ chế Durable Nonce cho phép tạo các giao dịch có hiệu lực trong thời gian dài hơn bằng cách cung cấp giá trị nonce không hết hạn.
Trong các vụ lừa đảo Phishing, những kẻ lừa đảo có thể lạm dụng cơ chế Bền vững để xúi giục người dùng ký các giao dịch tưởng chừng như bình thường nhưng thực chất lại chứa các hoạt động độc hại. Nhờ sử dụng Bền Nonce, các giao dịch này sẽ không hết hạn do hàm băm khối hết hạn, giúp những kẻ lừa đảo có thời gian dài hơn để thực hiện giao dịch. Ví dụ: kẻ lừa đảo có thể thiết kế một giao dịch giả vờ là một hoạt động hợp pháp, chẳng hạn như tham gia vào airdrop hoặc sự kiện, nhưng thực tế giao dịch đó có chứa hướng dẫn chuyển tài sản của người dùng cho kẻ lừa đảo. Người dùng đã ký một giao dịch như vậy mà không biết, nhưng người dùng sẽ thấy rằng giao dịch đó hoàn toàn không xảy ra trên khối, bởi vì kẻ tấn công chỉ có chữ ký của giao dịch và bản thân giao dịch đó không được gửi đến blockchain, họ có thể truyền phát giao dịch tới Chuỗi bất kỳ lúc nào trong tương lai. Tuy nhiên, bất kể giao dịch có xảy ra hay không, chúng tôi nhận thấy rằng loại chữ ký này không ảnh hưởng đến việc đánh giá kết quả mô phỏng giao dịch. Một số ví chính thống vẫn có thể tự mô phỏng và phân tích giao dịch và thông báo kết quả. về kết quả mô phỏng giao dịch Vẫn là một phương pháp hiệu quả .
Tuy nhiên, chúng ta vẫn phát hiện ra một phương pháp tấn công vô cùng tinh vi và phức tạp, có thể “che giấu sự thật”
Nâng cấp hợp đồng trốn tránh phát hiện mô phỏng giao dịch
Phương pháp này kết hợp các đặc điểm độc đáo của hợp đồng Bền Nonce và Solana - nâng cấp . Nguy cơ tiềm ẩn của phương pháp tấn công này còn tăng thêm bởi các đặc điểm của hợp đồng nâng cấp. Cơ chế Bền vững Nonce tạo ra giá trị nonce có hiệu lực lâu dài. cho phép các giao dịch duy trì hoạt động trong một khoảng thời gian dài hơn. Điều này có nghĩa là ngay cả khi người dùng không gửi ngay tới blockchain khi ký giao dịch, giao dịch vẫn có thể được phát và thực hiện bất kỳ lúc nào trong tương lai. Kẻ tấn công có thể lợi dụng điều này bằng cách trước tiên yêu cầu người dùng ký một giao dịch hợp đồng tưởng chừng như bình thường. Giao dịch này trông hoàn toàn vô hại khi ký. Ngay cả các ví chính thống và các công cụ mô phỏng giao dịch cũng gặp khó khăn khi cảnh báo trước cho người dùng khi ký. Tuy nhiên, sau khi người dùng ký giao dịch, kẻ tấn công đã lấy được thành công chữ ký của Bền Nonce. Lúc này, họ không vội đưa giao dịch lên Chuỗi mà sử dụng chức năng nâng cấp hợp đồng của Solana để thay đổi hợp đồng thông thường ban đầu thành phiên bản độc hại. Các hợp đồng độc hại như vậy có thể thực hiện các hoạt động như chuyển giao tài sản. Sau khi nâng cấp, kẻ tấn công gửi giao dịch đã ký tới blockchain để thực hiện hoạt động độc hại và đạt được mục tiêu của riêng mình. Kiểu tấn công này đặc biệt tinh vi và gây rủi ro đáng kể cho người dùng, vì ngay cả những người dùng có kinh nghiệm cũng có thể không nhận ra rủi ro tiềm ẩn khi ký giao dịch. Để đề phòng cuộc tấn công này, người dùng cần xem xét kỹ lưỡng danh tiếng và lịch sử của hợp đồng, luôn nghi ngờ về bất kỳ hành vi giao dịch bất thường nào và tránh tương tác với các nguồn không xác định hoặc hợp đồng mới thành lập. Đồng thời, chúng tôi cũng hy vọng rằng tất cả các ví Solana có thể chú ý đến phương thức tấn công này và đưa ra lời nhắc hiệu quả cũng như bảo vệ tài sản của người dùng trên ví một cách kịp thời.
Các biện pháp phòng ngừa
Khi đối diện các cuộc tấn Phishing trong mạng Solana , dưới đây là một số biện pháp phòng ngừa toàn diện có thể giúp giảm thiểu rủi ro:
Lưu ý về bảo mật: Luôn hết sức cảnh giác với mọi giao dịch liên quan đến crypto . Hiểu các phương thức tấn Phishing phổ biến của Solana như xúi giục chuyển token, chuyển quyền sở hữu tài khoản token, lừa đảo chữ ký giao dịch, v.v.
Kiểm tra kỹ chi tiết giao dịch: Trước khi thực hiện bất kỳ giao dịch nào, hãy kiểm tra cẩn thận các chi tiết cụ thể của giao dịch. Cần hết sức cẩn thận với các giao dịch sử dụng Bền Nonce hoặc liên quan đến tương tác hợp đồng.
Sử dụng chức năng mô phỏng giao dịch: Sử dụng chức năng mô phỏng giao dịch do ví cung cấp để xem xét cẩn thận kết quả mô phỏng giao dịch. Nhưng hãy lưu ý rằng đây không phải là biện pháp bảo vệ hoàn hảo vì có những trường hợp một số mô phỏng giao dịch không thành công.
Chú ý đến những thay đổi về ủy quyền: Bạn cũng phải luôn cảnh giác với những hoạt động làm thay đổi số dư tiền tệ sau khi không giao dịch. Đặc biệt cẩn thận về những thay đổi ủy quyền trên các trang web hoặc ứng dụng lạ.
Định kì hủy các ủy quyền vô dụng: Sử dụng công cụ Solana Revoke định kì hủy một số ủy quyền vô dụng nhằm đảm bảo an toàn cho tài sản.
Định kì cập nhật kiến thức: Định kì cập nhật kiến thức về blockchain và crypto, đặc biệt là về các phương thức Phishing mới nổi và chiến lược phòng ngừa.
Luôn cập nhật phần mềm: Ví và phần mềm liên quan được sử dụng phải được cập nhật để đảm bảo có các tính năng bảo mật và bản sửa lỗi mới nhất.
Sao lưu và bảo vệ private key: Bảo vệ private key và thông tin quan trọng của bạn, đồng thời tránh lưu trữ hoặc chia sẻ chúng ở những nơi không an toàn.
Đồng thời, đội ngũ bảo mật GoPlus kêu gọi chuỗi công khai Solana và hệ sinh thái của nó quan tâm độ sâu đến sự an toàn của người dùng, đẩy nhanh việc xây dựng cơ sở hạ tầng để cải thiện bảo mật người dùng và cung cấp cho người dùng hoàn cảnh giao dịch an toàn hơn, từ đó đạt được sự ổn định sinh thái và sự phồn vinh.
