什么是地址污染攻击?
在区块链世界中,地址本质上是一串公开可见的字串,因此任何人都能观察并利用这些资讯进行攻击设计。
这次针对 Squads 用户的攻击,属于典型的地址污染(Address Poisoning)案例,攻击者会制造看起来很像你帐户的假地址,利用视觉混淆,引导你做出错误操作,这种攻击并不直接入侵系统,而是利用人为判断失误。
攻击是怎么发生的?
(来源:multisig)
本次事件主要透过以下两种方式进行:
- 伪造多签帐户
攻击者会建立新的多签钱包,将受害者的公钥加入成员列表,让该帐户出现在使用者的介面中。由于系统会显示与你地址相关的帐户,这些假帐户就会混入你的清单。
- 模仿地址格式
攻击者会刻意生成与真实地址开头与结尾相似的地址,例如:
-
真地址:ABCD...XYZ
-
假地址:ABCF...XYA
如果只看前后几码,很容易造成误判。
攻击目的是什么?
这类攻击的核心并不是骇入,而是骗你操作。
常见目标包括:
-
误将资金转入假地址
-
签署自己没有发起的交易
-
误认假帐户为团队帐户
错误来自操作,而不是系统漏洞。
资金安全有没有受到影响?
目前来看,这次事件有一个重要结论,没有已知资金损失,且协议本身没有被攻破。
攻击者无法做到以下事情:
-
存取你的资产
-
修改你的多签设定
-
强制执行交易
因此,只要不误操作,资产就是安全的。
官方即将推出的安全更新
(来源:multisig)
为了进一步降低风险,Squads 团队也规划了一系列 UI 改进:
- 短期(即时)
-
显示安全警示横幅
-
标记从未互动过的多签帐户
- 中期(数日内)
-
新帐户预设进入待确认状态
-
使用者需手动加入清单(白名单机制)
这些设计的核心目标是降低误认地址的可能性。
使用者该如何防范?
在面对潜在的攻击风险时,建立正确的操作习惯是关键。对于任何不熟悉的多签帐户应保持警觉,原则上只操作自己建立或经团队明确确认过的帐户,避免误与恶意地址互动,且不应仅依赖地址的前后几码来判断真伪,正确做法是完整比对地址,或透过内部纪录与白名单进行确认,以降低判断错误的风险。
此外,在多签环境中,由于通常涉及多人协作,任何不确定的交易都应先与团队进行确认,再进行后续操作,避免因沟通落差造成资产损失。建议将常用且安全的帐户进行固定(Pin)设定,使其优先显示于清单顶部,这不仅能提升操作效率,也能有效降低误点或误操作的可能性。
总结
地址污染攻击本质上是一种利用人性弱点的社交工程,而非技术性漏洞,这次针对 Squads 的案例再次提醒,区块链安全不仅取决于协议设计,更与使用者操作习惯密切相关。在链上世界中,养成完整验证地址与谨慎签署交易的习惯,才是保护资产最关键的一道防线。