Solana ระบบมัลติซิก (multi-signature) ของ Squads ได้ออกคำเตือนบนแพลตฟอร์ม X เมื่อวันที่ 14 เมษายน โดยตรวจพบว่าผู้โจมตีได้ทำการโจมตีแบบ address poisoning ต่อผู้ใช้ของ Squads ซึ่งเป็นการปลอมบัญชี โดยใช้การจับคู่ตัวอักษรตัวแรกและตัวสุดท้ายของที่อยู่หลายลายเซ็นที่แท้จริงกับที่อยู่ปลอม เพื่อหลอกให้ผู้ใช้โอนเงินไปยังที่อยู่ที่เป็นอันตรายโดยไม่ตั้งใจ หรือทำการลงนามในธุรกรรมที่ไม่ได้รับอนุญาต Squads ยืนยันว่าไม่มีหลักฐานว่ากองทุนของผู้ใช้ได้รับความเสียหาย และระบุว่านี่เป็นการโจมตีแบบวิศวกรรมสังคมในชั้นของอินเทอร์เฟซ ไม่ใช่ช่องโหว่ด้านความปลอดภัยในชั้นของโปรโตคอล
การวิเคราะห์กลไกการโจมตี: โครงสร้างการหลอกลวงแบบสองชั้นสร้างบัญชีปลอมได้อย่างไร
ผู้โจมตีใช้ข้อมูลกุญแจสาธารณะ (public key) ที่เปิดเผยบนบล็อกเชน เพื่อออกแบบโครงสร้างการหลอกลวงแบบซ้อนกัน (double deception)
ชั้นที่หนึ่ง: ทำให้ผู้ใช้เป้าหมายถูกเพิ่มเข้าไปในบัญชีมัลติซิกปลอมโดยอัตโนมัติ ผู้โจมตีอ่านกุญแจสาธารณะของผู้ใช้ Squads ที่มีอยู่จากบนเชน แล้วสร้างบัญชีมัลติซิกใหม่แบบเป็นโปรแกรม โดยมีผู้ใช้เป้าหมายเป็นสมาชิก ทำให้บัญชีปลอมดูเหมือนเป็นองค์กรที่ “มีส่วนร่วมอย่างถูกต้องตามกฎหมาย” ของผู้ใช้ในมุมมองของผู้ใช้ ซึ่งช่วยลดความระแวงของเป้าหมายได้
ชั้นที่สอง: สร้างที่อยู่ “เท่” (vanity address) ที่มีตัวแรกและตัวสุดท้ายตรงกัน ผู้โจมตีใช้การคำนวณการชนกันของที่อยู่ (address collision) เพื่อสร้างกุญแจสาธารณะที่มีตัวอักษรตัวแรกและตัวสุดท้ายเหมือนกับที่อยู่มัลติซิกที่แท้จริงของผู้ใช้ทุกประการ เมื่อรวมกับพฤติกรรมที่ผู้ใช้ส่วนใหญ่ตรวจสอบเพียงตัวอักษรตัวแรกและตัวสุดท้ายของที่อยู่เท่านั้น บัญชีปลอมจึงมีอัตราความสำเร็จของการหลอกลวงด้วยภาพค่อนข้างสูง
Squads ระบุอย่างชัดเจนว่า วิธีการข้างต้นไม่สามารถเข้าถึงหรือควบคุมเงินของผู้ใช้ได้โดยตรง ความเสี่ยงต่อการสูญเสียทั้งหมดมาจากการที่ผู้ใช้ถูกหลอกแล้วลงมือทำรายการด้วยตนเอง ไม่ใช่การบุกรุกโปรโตคอลในเชิงเทคนิค
มาตรการรับมือแบบเป็นขั้นตอนของ Squads
แถบคำเตือนแบบเรียลไทม์: ภายในสองชั่วโมงหลังตรวจพบการโจมตี เปิดใช้งานแถบคำเตือนการโจมตีบนอินเทอร์เฟซสำหรับบัญชีที่น่าสงสัย
คำเตือนสำหรับบัญชีที่ไม่เคยโต้ตอบ: เพิ่มข้อความแจ้งเตือนเฉพาะสำหรับบัญชีมัลติซิกที่ไม่เคยมีประวัติการโต้ตอบกับผู้ใช้มาก่อน เพื่อลดความเสี่ยงของการกดผิดโดยไม่ตั้งใจ
เปิดใช้งานกลไกบัญชีขาว (white list): ในอีกไม่กี่วันข้างหน้า เปิดตัวกลไกบัญชีขาว เพื่อให้ผู้ใช้สามารถทำเครื่องหมายอย่างชัดเจนว่าบัญชีมัลติซิกใดเป็นที่รู้จักและเชื่อถือได้ ระบบจะกรองบัญชีที่ไม่รู้จักโดยอัตโนมัติ
คำแนะนำการป้องกันผู้ใช้แบบเรียลไทม์: เพิกเฉยต่อบัญชีมัลติซิกทั้งหมดที่ไม่ได้สร้างโดยคุณเอง และไม่ได้ถูกสมาชิกที่เชื่อถือได้เพิ่มเข้ามาอย่างชัดเจน ในการตรวจสอบที่อยู่ควรทำการเทียบอักขระอย่างครบถ้วนทีละตัว โดยเด็ดขาดไม่พึ่งพาการจับคู่ด้วยภาพเฉพาะตัวแรกและตัวสุดท้ายเท่านั้น
บริบทที่กว้างขึ้น: ภัยคุกคามด้านวิศวกรรมสังคมในระบบนิเวศ Solana ยังคงทวีความรุนแรงขึ้น
การโจมตี address poisoning ของ Squads ครั้งนี้ เป็นส่วนหนึ่งของภัยคุกคามด้านความปลอดภัยจากวิศวกรรมสังคมที่ทวีความรุนแรงขึ้นในระบบนิเวศ Solana ช่วงนี้ ก่อนหน้านี้มีเหตุการณ์ที่โปรโตคอล Drift ถูกขโมยเงินมูลค่า 285 ล้านดอลลาร์ ซึ่งสถาบันที่ทำการสืบสวนได้ระบุว่าเกิดจากวิศวกรรมสังคมเป็นหลัก ไม่ใช่ข้อบกพร่องในโค้ดสัญญาอัจฉริยะ ผู้โจมตีใช้เวลาเป็นเดือนในการแอบอ้างเป็นบริษัทที่ทำธุรกรรมอย่างถูกต้องตามกฎหมาย ค่อย ๆ สร้างความไว้วางใจ และเข้าถึงสิทธิ์การเข้าถึงระบบ
มูลนิธิ Solana และ Asymmetric Research ได้เริ่มแผนความปลอดภัย STRIDE เพื่อจัดให้มีการเฝ้าระวังอย่างต่อเนื่องและการตรวจสอบรูปแบบ (formal verification) แทนการตรวจสอบครั้งเดียวแบบเดิม และยังได้จัดตั้งโครงข่ายการตอบสนองเหตุการณ์ของ Solana (SIRN) เพื่อประสานงานการรับมือวิกฤตแบบเรียลไทม์ทั่วทั้งเครือข่าย หลังจากเหตุการณ์ Drift ระบบนิเวศที่มีมัลติซิกและโปรโตคอลที่มีมูลค่าสูงกำลังเผชิญการตรวจสอบความปลอดภัยที่เข้มงวดมากขึ้น โหมดการตอบสนองอย่างรวดเร็วของ Squads ทำหน้าที่เป็นแม่แบบอ้างอิงในการรับมือวิกฤตให้กับโปรโตคอลอื่น ๆ ในระบบนิเวศ
คำถามที่พบบ่อย
การโจมตีแบบ address poisoning คืออะไร? กรณีของ Squads มีความพิเศษอย่างไร?
โดยทั่วไป การโจมตีแบบ address poisoning หมายถึงการที่ผู้โจมตีสร้างที่อยู่ปลอมที่คล้ายกับที่เป้าหมายมาก เพื่อหลอกให้ผู้ใช้ดำเนินการโดยไม่ได้ตั้งใจ กรณีของ Squads มีความพิเศษตรงที่ ผู้โจมตีไม่ได้แค่ชนกันให้ได้ vanity address ที่มีตัวแรกและตัวสุดท้ายตรงกัน แต่ยังทำให้ผู้ใช้เป้าหมายถูกเพิ่มเข้าในบัญชีมัลติซิกปลอมโดยอัตโนมัติ ทำให้บัญชีปลอมดูเหมือนเป็นองค์กรที่ “เข้าร่วมอยู่แล้ว” ของผู้ใช้ ระดับชั้นของการหลอกลวงจึงซับซ้อนขึ้นไปอีก
โปรโตคอลมัลติซิกของ Squads เองมีช่องโหว่ด้านความปลอดภัยหรือไม่?
Squads ปฏิเสธอย่างชัดเจนว่าไม่มีช่องโหว่ของโปรโตคอล ผู้โจมตีไม่สามารถเข้าถึงเงินในบัญชีมัลติซิกของผู้ใช้ที่มีอยู่ได้ด้วยวิธี address poisoning และไม่สามารถแก้ไขการตั้งค่าสมาชิกของมัลติซิกที่มีอยู่แล้ว การโจมตีครั้งนี้เป็นการโจมตีแบบวิศวกรรมสังคมในชั้นของอินเทอร์เฟซ โดยอาศัยการหลอกให้ผู้ใช้ทำรายการผิดพลาดด้วยตนเอง ไม่ใช่การบุกรุกทางเทคนิค
ผู้ใช้จะระบุและป้องกันการโจมตีแบบ address poisoning ลักษณะนี้ได้อย่างไร?
หลักการป้องกันที่สำคัญมีอยู่ 3 ข้อ: หนึ่ง ให้เพิกเฉยต่อบัญชีมัลติซิกทั้งหมดที่ไม่ได้ถูกสร้างโดยคุณเอง หรือไม่ได้ถูกสมาชิกที่เชื่อถือได้เพิ่มเข้ามาอย่างชัดเจน สอง ในการตรวจสอบที่อยู่ให้ทำการเทียบอักขระอย่างครบถ้วนทีละตัว และอย่าพึ่งพาการจับคู่ด้วยภาพเฉพาะตัวแรกและตัวสุดท้าย สาม หลังจากกลไกบัญชีขาวของ Squads เปิดใช้งานแล้ว ให้ใช้บัญชีขาวเพื่อทำเครื่องหมายบัญชีที่เชื่อถือได้เชิงรุก เพื่อเพิ่มความน่าเชื่อถือของการระบุบัญชี
btc.bar.articles
Altcoins เปลี่ยนแนวโน้ม: Ripple และ Solana เป็นอัลท์คอยน์เพียง 2 รายการที่มีกระแสเงินไหลเข้าเชิงบวก
Ripple และ Solana เป็น altcoins เพียงตัวเดียวที่กำลังเห็นกระแสเงินไหลเข้าเชิงบวก
Altcoins เปลี่ยนแนวโน้ม นี่อาจนำไปสู่ช่วงพุ่งขึ้นของ altseason ที่เป็นโอกาสดีได้หรือไม่?
XRP และ SOL ต่างแสดงสัญญาณเชิงบวกเพื่อเล็งเป้าหมายทำสถิติสูงสุดใหม่ (ATH) เพิ่มเติม
ตลาดคริปโทยังคงเคลื่อนตัวขึ้นต่อเนื่องในสัปดาห์นี้ ทำให้สามารถเริ่มไปได้ถึงกระบวนการ…
CryptoNewsLand4 ชั่วโมง ที่แล้ว
Jito ผนึกกำลังกับบริษัท Solana เปิดตัวโครงสร้างพื้นฐานระดับสถาบันทั่วภูมิภาคเอเชียแปซิฟิกในวันที่ 6 พฤษภาคม
ตามประกาศอย่างเป็นทางการ Jito Foundation ได้ร่วมมือกับ Solana Company (NASDAQ: HSDT) เพื่อจัดหาโครงสร้างพื้นฐาน Solana ระดับสถาบันในภูมิภาคเอเชียแปซิฟิกรวมถึงฮ่องกง สิงคโปร์ ญี่ปุ่น และเกาหลีใต้ ความร่วมมือครั้งนี้จะดำเนินการ BAM validators ผ่านเครือข่าย Pacific
GateNews5 ชั่วโมง ที่แล้ว
Morgan Stanley เปิดให้ซื้อขายสปอตคริปโทบน E*Trade พร้อมค่าธรรมเนียม 50 จุดฐาน
ตามรายงานของ Bloomberg เมื่อวันที่ 6 พฤษภาคม Morgan Stanley ได้เปิดให้ซื้อขายคริปโทเคอร์เรนซีแบบสปอตบนแพลตฟอร์มโบรกเกอร์รายย่อย E*Trade โดยเรียกเก็บค่าธรรมเนียม 50 จุดเบซิสตามมูลค่าเป็นดอลลาร์ของธุรกรรมคริปโทฯ แต่ละรายการ โดยการทดลองดังกล่าวเริ่มใช้งานแล้ว และคาดว่าลูกค้าทั้งหมด 8.6 ล้านรายของ E*Trade จะได้รับสิทธิ์เข้าถึงในภายหลังในขณะนี้ t
GateNews5 ชั่วโมง ที่แล้ว
Circle สร้างเหรียญ 750 ล้าน USDC บน Solana ภายใน 24 ชั่วโมง
ตาม ChainCatcher บริษัท Circle ได้มิ้นต์ประมาณ 750 ล้าน USDC บน Solana ในช่วง 24 ชั่วโมงที่ผ่านมา
GateNews7 ชั่วโมง ที่แล้ว
ประธานมูลนิธิ Liu กล่าวว่า Solana กำลังสร้างโครงสร้างการชำระเงินสำหรับเศรษฐกิจเครื่องจักรของ AI ที่ Consensus 2026
ในการประชุม Consensus Miami 2026 ประธานมูลนิธิ Solana อย่าง Lily Liu ได้โต้แย้งว่า การที่บริษัทต่างๆ เช่น Western Union นำเหรียญสเตเบิลคอยน์มาใช้ เป็นการยืนยันบทบาทของ Solana ในฐานะโครงสร้างพื้นฐานทางการเงินสำหรับทั้งเศรษฐกิจของมนุษย์และเศรษฐกิจของเครื่องจักร
GateNews7 ชั่วโมง ที่แล้ว
กลยุทธ์อาจขาย Bitcoin เพื่อระดมทุนจ่ายเงินปันผล STRC เมื่อภาระรายปีแตะมูลค่า 1.5 พันล้านดอลลาร์
จากการประชุมทางโทรศัพท์รายงานผลประกอบการไตรมาส 1 ปี 2026 ของบริษัท Strategy ระบุว่าอาจจำหน่าย bitcoin เพื่อเป็นทุนสำหรับการจ่ายเงินปันผลที่เชื่อมโยงกับ STRC ซึ่งเป็นหุ้นบุริมสิทธิแบบถาวรที่ให้ผลตอบแทนสูง ถือเป็นการเปลี่ยนแปลงจากจุดยืนเดิมมายาวนาน “ไม่ขาย” ประธาน Michael Saylor ระบุว่าบริษัทจะใช้การจำหน่าย bitcoin เป็น
GateNews8 ชั่วโมง ที่แล้ว
