Les utilisateurs de Solana sont en danger car une extension malveillante de Google Chrome draine les fonds

Jupiter, un échange décentralisé sur Solana, a émis un avertissement concernant une extension de navigateur malveillante ciblant les utilisateurs de Solana utilisant Google Chrome.

Selon une analyse détaillée du fondateur de la plateforme, connu sous le nom de Meow, l'extension de navigateur a été conçue pour drainer les fonds des utilisateurs et peut même contourner les contrôles de simulation de Solana.

Les utilisateurs de Solana en danger

Baptisée « Bull checker », l’extension a été promue sur la plateforme de médias sociaux Reddit dans de nombreux forums liés à Solana. Elle se présentait comme un outil permettant aux utilisateurs de visualiser tous les détenteurs d’un memecoin particulier.

En réalité, l’extension, qui semble normale, pourrait transférer de manière malveillante les fonds de l’utilisateur vers un autre portefeuille en interceptant et en modifiant la transaction lorsqu’un utilisateur interagit avec une application décentralisée (Dapp).

L’extension a également été conçue pour échapper à la détection par les outils de simulation de transaction.

Plus précisément, l'extension détourne la méthode signTransaction du portefeuille et la transmet à un serveur distant contrôlé par l'attaquant.

Ici, la transaction est modifiée pour inclure des instructions qui drainent les fonds du portefeuille de l'utilisateur et transfèrent l'autorité à l'attaquant.

Lorsqu'un utilisateur signe enfin la transaction, les instructions modifiées sont exécutées, ce qui donne à l'attaquant la permission de transférer tous les jetons du portefeuille de la victime.

Meow déclare que l'extension demande aux utilisateurs une autorisation de lecture et d'écriture pendant le processus d'installation, ajoutant qu'il s'agissait d'un « signal d'alarme » majeur, car toute extension prétendant faire ce que fait Bull checker ne nécessiterait qu'une autorisation de « lecture seule ». Le fondateur a ajouté :

Selon l'analyse, cette extension n'a affecté qu'un « petit nombre » d'utilisateurs, mais aucun détail supplémentaire n'a été divulgué. En attendant, Jupiter a exhorté les utilisateurs à désinstaller toutes les extensions suspectes qui nécessitent des autorisations similaires. L'entreprise a assuré à sa communauté qu'aucune vulnérabilité n'avait été découverte dans aucune de ses dapps ou portefeuilles.

Un thème récurrent dans la cryptographie

Ce n’est pas le premier incident dans lequel une extension de navigateur malveillante cible les utilisateurs de crypto-monnaie.

Par exemple, les utilisateurs du fabricant de portefeuilles cryptographiques Ledger ont été ciblés par une fausse extension déguisée en application Ledger Live, que les propriétaires de portefeuilles utilisent pour approuver les transactions. L'extension obligeait les utilisateurs à saisir leurs phrases de départ lors de l'installation, l'utilisant finalement pour drainer des fonds.

Plus tôt cette année, une extension malveillante aurait imité l'application Aggr, qui propose une gamme d'outils pour les traders professionnels. La fausse extension a été conçue pour collecter les cookies des sites Web des navigateurs Web d'une victime et les utiliser pour reconstituer les mots de passe et les clés de récupération, ciblant spécifiquement les comptes Binance.

Les attaquants dans le domaine des cryptomonnaies ont continué d'évoluer, utilisant des tactiques de plus en plus sophistiquées conçues pour tromper leurs victimes. Comme indiqué précédemment par Invezz, des escrocs en cryptomonnaies ont été repérés en train d'utiliser de faux liens Zoom pour déployer des logiciels malveillants sur des ordinateurs Windows, entraînant la perte de plus de 300 000 dollars de fonds.