Google Chrome-utvidelsen for kryptohandel retter seg mot Solana-brukere

Angripere bruker en ondsinnet Google Chrome-utvidelse forkledd som et handelsverktøy for å stjele små deler av SOL fra lommene til intetanende Solana-brukere.

Ifølge forskning utført av cybersikkerhetsfirmaet Socket, er Chrome-utvidelsen fortsatt tilgjengelig på Chrome Web Store under navnet "Crypto Copilot."

Det markedsføres som en produktivitetsforsterker som lar brukere utføre Solana-handler direkte fra sin X-feed.

Utvidelsen har for øyeblikket en 1-stjerners vurdering og kun 18 nedlastinger per pressetid, men har vært tilgjengelig siden 18. juni 2024.

Hvordan retter Crypto Copilot seg mot Solana-brukere?

Ved første øyekast oppfyller Crypto Copilot alle kriteriene for et legitimt verktøy, og integrerer ulike tredjeparts-API-er som DexScreener for prisdata, Helius for Solana-infrastrukturtilgang, og Phantom eller Solflare for lommebokforbindelser.

Disse funksjonene får det til å se ut og fungere som et ekte desentralisert handelsgrensesnitt, mens det stille suger ut en skjult avgift i bakgrunnen.

"Ingen av disse tjenestene er ondsinnede i seg selv, men sammen skaper de en overbevisende fasade rundt kjernen: hver bytte inkluderer en uoppgitt SOL-overføring til en hardkodet personlig lommebok," skrev Socket.

For å gjennomføre handler bruker den Raydium, en desentralisert børs på Solana som lar brukere bytte tokens.

Men bak kulissene legger den til en ekstra instruksjon som overfører en liten andel av transaksjonen til angriperens lommebok.

På overflaten ser brukeren bare de forventede byttedetaljene.

Sjekkboksens bekreftelsesskjermer oppsummerer bare transaksjonen uten å vise individuelle instruksjoner, uten å gi noen åpenbar indikasjon på at to handlinger utføres samtidig.

Når handler utføres, blir brukerne kun bedt om å godkjenne transaksjonen én gang, med både legitime og ondsinnede instruksjoner som utføres sammen som en enkelt atomoperasjon.

On-chain-analyse utført av Socket fant så langt kun et begrenset antall overføringer til angriperens lommebok, noe teamet tilskriver at utvidelsen enten ikke har blitt bredt promotert eller fortsatt er i tidlige distribusjonsfaser.

Utvidelsen er imidlertid bygget for å skalere effektivt, med Socket som advarer om at den potensielle skaden øker med størrelsen og hyppigheten av byttene.

"Brukere med større beholdninger eller høy handelsvolum kan pådra seg betydelig større tap hvis de uvitende stoler på denne utvidelsen for rutinemessige bytter. Over tid akkumulerer angriperen SOL direkte i sin personlige lommebok, og gjør utvidelsen til en tilbakevendende inntektsmekanisme i stedet for et legitimt DEX-grensesnitt," la Socket til.

Socket har oppfordret brukere til å gjennomgå hver transaksjonsinstruksie før signering, spesielt på Solana, hvor ondsinnet atferd som dette bare kan oppdages hvis brukeren manuelt utvider og inspiserer hver instruksjon.

De som allerede har installert Crypto Copilot bør overføre midlene sine til en ren lommebok og umiddelbart tilbakekalle alle tidligere tilknyttede nettsteder.

Ondsinnede Chrome-utvidelser fortsetter å dukke opp

Crypto Copilot er bare én av mange villedende Chrome-utvidelser som har dukket opp på Chrome Web Store.

Siden starten av fjoråret har antallet angrep med ondsinnede utvidelser økt, med noen som har klart å tjene millioner i stjålne midler.

I fjor rapporterte Invezz om Bull Checker, en annen falsk utvidelse som rettet seg mot Solana-brukere ved å forkle seg som et memecoin-verktøy.

I realiteten kapret den transaksjoner for å omdirigere brukermidler til en angriperkontrollert lommebok.

I mellomtiden oppdaget forskere ved Koi Security i august at en gruppe kjent som GreedyBear hadde tappet over 1 million dollar i kryptovaluta ved hjelp av ondsinnede nettleserutvidelser, skadelig programvare og svindelnettsteder i en koordinert operasjon som strakte seg over flere angrepsvektorer.