По данным криптоследователей, жертва хакерской атаки перешла по фишинговой ссылке на фальшивый сайт и подписала транзакцию. Во всплывающем окне криптокошелька Solana могло быть написано что-то привычное: «подключить кошелек», «забрать эйрдроп» или «получить награду», а симуляция показывала нулевые изменения баланса, поэтому жертва спокойно выбрала «подписать», предположили эксперты.
В Solana каждый адрес — это не просто строка символов, как в Биткоине или Эфириуме, а полноценный аккаунт с отдельным полем «владелец». При подписании транзакции была активирована команда «assign», которая незаметно переписала это поле на адрес злоумышленника, после чего хакер стал полноправным хозяином аккаунта.
«Вы думали, что просто подключили криптокошелек к сайту, а на самом деле подарили все свои деньги незнакомому человеку, и ваш кошелек этого даже не заметил», — прокомментировали в SlowMist.
Эксперты добавили, что впервые подобные фишинговые атаки на владельцев криптокошельков были выявлены в сети Tron. В Tron любой аккаунт по умолчанию является мультиподписью и у него есть поле «Active Permission», где указан владелец. Злоумышленник присылает жертве фальшивую транзакцию, например, «подтвердить подключение» или «активировать награду». При подписи эта транзакция незаметно меняет «Active Permission» и ставит адрес хакера как единственного владельца. После этого злоумышленник получает полный контроль над аккаунтом и может переводить TRX, USDT, TRON и все токены TRC-20 без дополнительных подписей.
Этот метод стал массовым в Tron с 2022–2023 годов и привел к потерям сотен миллионов долларов. Теперь хакерский прием «одна подпись = весь кошелек» перекочевал в Solana и стал новой угрозой, предупреждают специалисты SlowMist. Чтобы защитить активы на Solana от атак с изменением владельца аккаунта, в SlowMist предлагают держать крупные суммы только в холодных кошельках, для повседневных операций использовать отдельный «горячий» кошелек с минимально необходимыми средствами, перед любой подписью проверять транзакцию в расширенном симуляторе и никогда не подписывать запросы с неизвестных сайтов.
Накануне инженеры по безопасности Ledger Donjon сообщили об аппаратной уязвимости чипов MediaTek, установленных в криптоориентированных смартфонах Solana Mobile, что позволяет злоумышленникам захватить полный контроль над мобильным устройством и цифровыми активами владельца.
