Tiện ích mở rộng độc hại Chrome 'Tiền điện tử Copilot' bị phát hiện tiêm phí ẩn vào các giao dịch Solana

Nguồn: CoinEdition Tiêu đề gốc: Tiện ích mở rộng Chrome độc hại ‘Crypto Copilot’ bị phát hiện đang chèn phí ẩn vào các giao dịch hoán đổi Solana Liên kết gốc: https://coinedition.com/malicious-chrome-extension-crypto-copilot-caught-injecting-hidden-fees-into-solana-swaps/

Cuộc Tấn Công, Mẹo, và Sửa Chữa

• Cuộc tấn công: Một tiện ích mở rộng Chrome có tên “Crypto Copilot” âm thầm thêm một khoản phí chuyển nhượng vào các giao dịch của người dùng.
• Mẹo: Nó ẩn một lệnh SystemProgram.transfer bên trong các giao dịch Raydium hợp pháp.
• Cách Khắc Phục: Người dùng phải xác minh các hướng dẫn giao dịch cá nhân trong bản xem trước ví của họ trước khi ký.

Một tiện ích mở rộng trình duyệt độc hại giả mạo là công cụ giao dịch Solana đã bị phát hiện đang lấy cắp tiền từ người dùng bằng cách âm thầm sửa đổi dữ liệu giao dịch.

Các nhà nghiên cứu bảo mật đã xác định được tiện ích mở rộng Chrome độc hại nhằm bí mật đánh cắp một lượng nhỏ SOL từ người dùng Solana trong quá trình hoán đổi. Tiện ích mở rộng có tên Crypto Copilot, trông giống như một công cụ giao dịch bình thường nhưng lén lút thêm một chuyển giao bổ sung vào mỗi giao dịch.

Cách mà Phần Mở Rộng Giả Hoạt Động

Các nhóm nghiên cứu mối đe dọa phát hiện rằng Crypto Copilot đã có mặt trên Cửa hàng Web Chrome kể từ tháng 6 năm 2024. Nó tự quảng cáo là một công cụ cho phép mọi người giao dịch token Solana trực tiếp từ nguồn cấp dữ liệu X của họ. Tiện ích mở rộng này hiển thị giá token, kết nối với các ví phổ biến và trông hoàn toàn an toàn bề mặt.

Tuy nhiên, khi người dùng thực hiện một giao dịch hoán đổi, tiện ích mở rộng sẽ xây dựng hướng dẫn hoán đổi Raydium thông thường và sau đó bí mật thêm một hướng dẫn thứ hai. Hướng dẫn bổ sung này gửi SOL đến một ví do kẻ tấn công kiểm soát mà không thông báo cho người dùng. Số lượng tối thiểu bị lấy là 0.0013 SOL, hoặc 0.05 phần trăm của kích thước giao dịch nếu giao dịch đủ lớn.

Ví thường chỉ hiển thị tóm tắt chính của một giao dịch. Hầu hết người dùng sẽ không mở rộng danh sách hướng dẫn đầy đủ, vì vậy họ sẽ không nhận thấy rằng hai hành động riêng biệt đang được ký cùng một lúc.

Có vẻ hợp pháp bên ngoài; Nghi ngờ bên trong

Crypto Copilot cố gắng rất nhiều để xuất hiện như một sản phẩm thực sự và hữu ích. Nó phát hiện tên token trên X, hiển thị dữ liệu DexScreener, và hỗ trợ các ví nổi tiếng như Phantom và Solflare. Nó cũng chỉ yêu cầu các quyền truy cập ví thông thường.

Nhưng backend tiết lộ sự thật. Tiện ích mở rộng gửi dữ liệu đến một miền không có trang web thực sự và chỉ hiển thị một trang trắng. Trang web chính thức của nó đã được đỗ và không lưu trữ bất kỳ sản phẩm hoạt động nào. Ngay cả miền backend cũng có một lỗi chính tả trong tên của nó. Những chi tiết này cho thấy rằng các nhà sáng tạo không có kế hoạch xây dựng một dịch vụ giao dịch thực sự.

Mã cũng bị ẩn rất nhiều và khó đọc. Các phần quan trọng, bao gồm địa chỉ ví của kẻ tấn công, bị chôn sâu bên trong những đoạn mã dài và khó hiểu.

Các khoản phí ẩn tích lũy theo thời gian

Tiện ích mở rộng tính phí người dùng theo hai cách. Đối với các giao dịch dưới 2.6 SOL, nó lấy mức tối thiểu 0.0013 SOL. Đối với các giao dịch trên số tiền đó, nó lấy 0.05 phần trăm của giao dịch. Ví dụ, một giao dịch 100 SOL sẽ bí mật gửi 0.05 SOL cho kẻ tấn công.

Cho đến nay, kẻ tấn công vẫn chưa thu thập được nhiều ($6.86), điều này cho thấy rằng phần mở rộng vẫn chưa lan rộng. Nhưng hệ thống được thiết kế để mở rộng, có nghĩa là những người giao dịch lớn hơn hoặc thường xuyên có thể mất một khoản tiền đáng kể mà không biết.

Cảnh báo cho người dùng Solana

Các nhà nghiên cứu cho biết phần mở rộng này chưa bao giờ được dự định hoạt động như một sản phẩm thực tế. Nó chỉ tồn tại để trông có vẻ đáng tin cậy trong khi thu phí ngầm. Người dùng được khuyến cáo nên tránh các phần mở rộng trình duyệt không rõ nguồn gốc, đặc biệt là những phần mở rộng yêu cầu quyền truy cập ví hoặc hứa hẹn giao dịch chỉ với một cú nhấp chuột.

“Chỉ cài đặt các tiện ích ví từ các trang nhà xuất bản đã được xác minh, không phải từ kết quả tìm kiếm của Chrome Web Store,” nghiên cứu cho biết.