L’extension Google Chrome pour le trading crypto cible les utilisateurs de Solana

Les attaquants utilisent une extension malveillante de Google Chrome déguisée en outil de commodité de trading pour détourner de petites portions de SOL des poches d’utilisateurs Solana sans méfiance.

Selon une étude menée par la société de cybersécurité Socket, l’extension Chrome est actuellement disponible sur le Chrome Web Store sous le nom de « Crypto Copilot ».

Il est présenté comme un améliorateur de productivité permettant aux utilisateurs d’exécuter des échanges Solana directement depuis leur fil X.

L’extension bénéficie actuellement d’une note d’une étoile et ne compte que 18 téléchargements au moment de la mise sous presse, mais elle est disponible depuis le 18 juin 2024.

Comment Crypto Copilot cible-t-il les utilisateurs de Solana ?

À première vue, Crypto Copilot coche toutes les cases d’un outil légitime, intégrant diverses API tierces comme DexScreener pour les données de prix, Helius pour l’accès à l’infrastructure Solana, et Phantom ou Solflare pour les connexions portefeuille.

Ces fonctionnalités lui donnent l’apparence et le fonctionnement d’une véritable interface de trading décentralisée, tout en siphonnant discrètement une commission cachée en arrière-plan.

« Aucun de ces services n’est malveillant en soi, mais ensemble, ils créent une façade convaincante autour du problème central : chaque échange inclut un transfert SOL non divulgué vers un portefeuille personnel codé en dur », a écrit Socket.

Pour exécuter des transactions, il utilise Raydium, une plateforme d’échange décentralisée sur Solana qui permet aux utilisateurs d’échanger des jetons.

Mais en coulisses, il ajoute une instruction supplémentaire qui transfève une petite part de la transaction au portefeuille de l’attaquant.

En surface, l’utilisateur ne voit que les détails attendus de l’échange.

Les écrans de confirmation du portefeuille se contentent de résumer la transaction sans donner de directives individuelles, sans donner d’indication évidente que deux actions sont exécutées simultanément.

Lors de l’exécution des transactions, les utilisateurs ne doivent approuver la transaction qu’une seule fois, les instructions légitimes et malveillantes s’exécutant simultanément comme une opération atomique unique.

L’analyse on-chain menée par Socket n’a révélé qu’un nombre limité de transferts vers le portefeuille de l’attaquant jusqu’à présent, ce que l’équipe attribue au fait que l’extension n’a pas été largement promue ou est encore aux premiers stades de la distribution.

Cependant, l’extension a été conçue pour être évolutive efficacement, Socket avertissant que les dommages potentiels augmentent avec la taille et la fréquence des échanges.

« Les utilisateurs disposant de plus grandes avoirs ou d’une activité de trading à fort volume pourraient subir des pertes nettement plus importantes s’ils comptent involontairement sur cette extension pour des swaps de routine. Au fil du temps, l’attaquant accumule des SOL directement dans son portefeuille personnel, transformant l’extension en un mécanisme de revenus récurrents plutôt qu’en une véritable interface DEX », a ajouté Socket.

Socket a encouragé les utilisateurs à examiner chaque instruction de transaction avant de signer, en particulier sur Solana, où un comportement malveillant comme celui-ci ne peut être détecté que si l’utilisateur étend et inspecte manuellement chaque instruction.

Ceux qui ont déjà installé Crypto Copilot doivent migrer leurs fonds vers un portefeuille propre et révoquer immédiatement tous les sites précédemment connectés.

Les extensions malveillantes de Chrome continuent de refaire surface

Crypto Copilot n’est qu’une des nombreuses extensions trompeuses de Chrome qui ont fait surface sur le Chrome Web Store.

Depuis le début de l’année dernière, le nombre d’attaques utilisant des extensions malveillantes est en hausse, certaines parvenant à encaisser des millions en fonds volés.

L’année dernière, Invezz a rapporté Bull Checker, une autre extension fausse qui ciblait les utilisateurs de Solana en se faisant passer pour un utilitaire de memecoin.

En réalité, il a détourné des transactions pour rediriger les fonds des utilisateurs vers un portefeuille contrôlé par l’attaquant.

Par ailleurs, en août dernier, des chercheurs de Koi Security ont découvert qu’un groupe appelé GreedyBear avait siphonné pour plus d’un million de dollars de cryptomonnaies en utilisant des extensions de navigateur malveillantes, des logiciels malveillants et des sites web frauduleux, dans une opération coordonnée couvrant plusieurs vecteurs d’attaque.