Зловмисне розширення Chrome 'Крипто Копілот' спіймали на впровадженні прихованих зборів у свопах Solana

Джерело: CoinEdition Оригінальна назва: Зловмисне розширення Chrome ‘Crypto Copilot’ викрито за впровадження прихованих зборів у свопи Solana Оригінальне посилання: https://coinedition.com/malicious-chrome-extension-crypto-copilot-caught-injecting-hidden-fees-into-solana-swaps/

Хак, трюк і виправлення

• Хак: Розширення Chrome під назвою “Crypto Copilot” таємно додає комісію за переказ до обмінів користувачів.
• Трюк: Він приховує інструкцію SystemProgram.transfer всередині легітимних транзакцій Raydium.
• Виправлення: Користувачі повинні перевіряти окремі інструкції транзакцій у попередньому перегляді свого гаманця перед підписанням.

Зловмисне розширення браузера, яке маскується під інструмент для торгівлі Solana, було спіймано на викраденні коштів у користувачів шляхом тихого модифікування навантаження транзакцій.

Дослідники з безпеки виявили шкідливе розширення для Chrome, яке таємно викрадає невелику кількість SOL у користувачів Solana під час обмінів. Розширення, назване Crypto Copilot, виглядає як звичайний торговий інструмент, але тихо додає додатковий переказ до кожної угоди.

Як працює фальшиве розширення

Команди з дослідження загроз виявили, що Crypto Copilot доступний у Chrome Web Store з червня 2024 року. Він рекламує себе як інструмент, який дозволяє людям торгувати токенами Solana безпосередньо з їхньої стрічки X. Розширення показує ціни токенів, підключається до популярних гаманців і на вигляд абсолютно безпечне.

Однак, коли користувач виконує обмін, розширення створює звичайну інструкцію обміну Raydium, а потім таємно додає другу інструкцію. Додаткова інструкція надсилає SOL на гаманця, що контролюється зловмисником, не повідомляючи про це користувача. Мінімальна сума, що знімається, становить 0.0013 SOL або 0.05 відсотка від розміру обміну, якщо угода достатньо велика.

Гаманець зазвичай показує лише основну інформацію про транзакцію. Більшість користувачів не розширюватимуть повний список інструкцій, тому не помітять, що підписуються дві окремі дії одночасно.

Зовні виглядає легітимно; всередині підозріло

Crypto Copilot намагається виглядати як реальний і корисний продукт. Він виявляє назви токенів на X, показує дані DexScreener і підтримує відомі гаманці, такі як Phantom і Solflare. Він також запитує лише загальні дозволи на доступ до гаманців.

Але бекенд розкриває правду. Розширення надсилає дані на домен, який не має справжнього сайту і лише відображає порожню сторінку. Його офіційний вебсайт припаркований і не містить жодного працюючого продукту. Навіть домен бекенду має орфографічну помилку в своїй назві. Ці деталі показують, що творці не планували створювати справжній торговий сервіс.

Код також сильно прихований і важко читається. Ключові частини, включаючи адресу гаманця зловмисника, заховані всередині довгих і заплутаних скриптів.

Сховані збори накопичуються з часом

Розширення стягує плату з користувачів двома способами. За обміни нижче 2.6 SOL воно бере мінімум 0.0013 SOL. За торги вище цієї суми воно стягує 0.05 відсотка від обміну. Наприклад, торгівля на 100 SOL таємно надішле 0.05 SOL атакуючому.

Досі зловмисник не зібрав багато ($6.86), що свідчить про те, що розширення ще не поширилося широко. Але система спроектована для масштабування, що означає, що більші або часті трейдери можуть втратити значні суми, не знаючи про це.

Попередження для користувачів Solana

Дослідники стверджують, що це розширення ніколи не було призначене для роботи як реальний продукт. Воно існує лише для того, щоб виглядати надійно, поки в фоновому режимі стягуються комісії. Користувачам радять уникати невідомих розширень браузера, особливо тих, які просять доступ до гаманця або обіцяють торгівлю в один клік.

“Встановлюйте розширення гаманця лише з перевірених сторінок видавців, а не з результатів пошуку в Chrome Web Store,” йдеться в дослідженні.