Криптоследователи из SlowMist предупредили о новой изощренной фишинговой угрозе, нацеленной на владельцев кошельков в сети Solana, которая позволяет хакерам получить полный контроль над аккаунтом жертвы всего за одну подпись транзакции. Механизм атаки заключается в том, что жертва переходит по фишинговой ссылке на фальшивый сайт и подписывает транзакцию, при этом всплывающее окно кошелька демонстрирует привычный запрос, например, «подключить кошелек» или «забрать эйрдроп», а симуляция показывает нулевые изменения баланса. Однако, вместо безобидного действия, подпись незаметно активирует команду «assign», которая переписывает поле «владелец» аккаунта на адрес злоумышленника.

Специфика этой атаки связана с особенностями архитектуры блокчейна Solana. В отличие от Биткоина или Эфириума, где адрес — это просто строка символов, в Solana каждый адрес является полноценным аккаунтом с отдельным полем «владелец». После выполнения команды «assign» хакер становится полноправным хозяином аккаунта. Как прокомментировали в SlowMist: «Вы думали, что просто подключили криптокошелек к сайту, а на самом деле подарили все свои деньги незнакомому человеку, и ваш кошелек этого даже не заметил».

Эксперты отмечают, что этот хакерский прием «одна подпись = весь кошелек» впервые стал массовым в сети Tron в 2022–2023 годах и привел к потерям сотен миллионов долларов. В Tron любой аккаунт по умолчанию является мультиподписью и имеет поле «Active Permission», указывающее владельца. Злоумышленник присылает фальшивую транзакцию, при подписи которой незаметно меняется поле «Active Permission» и устанавливается адрес хакера как единственного владельца, что дает полный контроль над всеми токенами TRC-20. Теперь этот метод перекочевал в Solana и стал новой критической угрозой.

Чтобы защитить активы на Solana от атак с изменением владельца аккаунта, специалисты SlowMist настоятельно рекомендуют держать крупные суммы исключительно в холодных кошельках. Для повседневных операций советуют использовать отдельный «горячий» кошелек с минимально необходимыми средствами, а перед любой подписью обязательно проверять транзакцию в расширенном симуляторе и ни в коем случае не подписывать запросы с неизвестных или подозрительных сайтов. Накануне также стало известно об аппаратной уязвимости чипов MediaTek в криптоориентированных смартфонах Solana Mobile, что позволяет злоумышленникам получить полный контроль над устройством и цифровыми активами владельца.