Sambungan Google Chrome untuk perdagangan kripto menyasarkan pengguna Solana

Penyerang menggunakan sambungan Google Chrome berniat jahat yang menyamar sebagai alat kemudahan perdagangan untuk mengeluarkan sebahagian kecil SOL daripada poket pengguna Solana yang tidak curiga.

Menurut penyelidikan yang dijalankan oleh firma keselamatan siber Socket, sambungan Chrome kini masih disiarkan di Kedai Web Chrome di bawah nama "Crypto Copilot."

Ia dipasarkan sebagai penambah produktiviti yang membolehkan pengguna melaksanakan dagangan Solana terus daripada suapan X mereka.

Sambungan itu kini mempunyai penarafan 1 bintang dan hanya 18 muat turun pada masa akhbar, tetapi telah disiarkan secara langsung sejak 18 Jun 2024.

Bagaimanakah Crypto Copilot menyasarkan pengguna Solana?

Pada pandangan pertama, Crypto Copilot menandakan semua kotak alat yang sah, menyepadukan pelbagai API pihak ketiga seperti DexScreener untuk data harga, Helius untuk akses infrastruktur Solana dan Phantom atau Solflare untuk sambungan dompet. 

Ciri-ciri ini menjadikannya kelihatan dan berfungsi seperti antara muka dagangan terdesentralisasi yang tulen, sementara ia secara senyap-senyap menyedut yuran tersembunyi di latar belakang.

"Tiada satu pun daripada perkhidmatan ini berniat jahat dengan sendirinya, tetapi bersama-sama mereka mencipta fasad yang meyakinkan di sekitar isu teras: setiap pertukaran termasuk pemindahan SOL yang tidak didedahkan ke dompet peribadi berkod keras," tulis Socket.

Untuk melaksanakan dagangan, ia menggunakan Raydium, pertukaran terdesentralisasi di Solana yang membolehkan pengguna menukar token.

Tetapi di sebalik tabir, ia melampirkan arahan tambahan yang memindahkan sebahagian kecil transaksi ke dompet penyerang.

Di permukaan, pengguna hanya melihat butiran pertukaran yang dijangkakan.

Skrin pengesahan dompet hanya meringkaskan transaksi tanpa memaparkan arahan individu, tidak memberikan petunjuk yang jelas bahawa dua tindakan sedang dilaksanakan bersama.

Apabila melaksanakan dagangan, pengguna hanya diminta untuk meluluskan transaksi sekali, dengan kedua-dua arahan yang sah dan berniat jahat dilaksanakan bersama sebagai operasi atom tunggal.

Analisis dalam rantaian yang dijalankan oleh Socket mendapati hanya bilangan pemindahan yang terhad ke dompet penyerang setakat ini, yang dikaitkan dengan fakta bahawa sambungan itu sama ada belum dipromosikan secara meluas atau masih di peringkat awal pengedaran.

Walau bagaimanapun, sambungan telah dibina untuk berskala dengan cekap, dengan Soket memberi amaran bahawa potensi kerosakan meningkat dengan saiz dan kekerapan dagangan.

"Pengguna yang mempunyai pegangan yang lebih besar atau aktiviti perdagangan volum tinggi boleh menanggung kerugian yang jauh lebih tinggi jika mereka secara tidak sedar bergantung pada lanjutan ini untuk swap rutin. Lama kelamaan, penyerang mengumpul SOL terus di dalam dompet peribadi mereka, mengubah sambungan menjadi mekanisme hasil berulang dan bukannya antara muka DEX yang sah," tambah Socket.

Socket telah menggesa pengguna untuk menyemak setiap arahan transaksi sebelum menandatangani, terutamanya pada Solana, di mana tingkah laku berniat jahat seperti ini hanya boleh ditangkap jika pengguna mengembangkan dan memeriksa setiap arahan secara manual.

Mereka yang telah memasang Crypto Copilot harus memindahkan dana mereka ke dompet bersih dan membatalkan semua tapak yang disambungkan sebelum ini dengan segera.

Sambungan Chrome berniat jahat terus muncul

Crypto Copilot hanyalah salah satu daripada banyak sambungan Chrome yang menipu yang telah muncul di Kedai Web Chrome.

Sejak awal tahun lepas, bilangan serangan menggunakan sambungan berniat jahat telah meningkat, dengan sesetengahnya berjaya meraih berjuta-juta dana yang dicuri.

Tahun lepas, Invezz melaporkan tentang Bull Checker, satu lagi sambungan palsu yang menyasarkan pengguna Solana dengan menyamar sebagai utiliti memecoin.

Pada hakikatnya, ia merampas transaksi untuk menghalakan semula dana pengguna ke dompet yang dikawal penyerang.

Sementara itu, pada bulan Ogos, penyelidik di Koi Security mendedahkan bahawa kumpulan yang dikenali sebagai GreedyBear telah menyedut mata wang kripto bernilai lebih $1 juta menggunakan sambungan penyemak imbas berniat jahat, perisian hasad dan tapak web penipuan dalam operasi yang diselaraskan yang merangkumi pelbagai vektor serangan.