Użytkownicy Solany narażeni na ryzyko, ponieważ złośliwe rozszerzenie Google Chrome wysysa fundusze

Jupiter, zdecentralizowana giełda na platformie Solana, wydała ostrzeżenie o złośliwym rozszerzeniu przeglądarki atakującym użytkowników platformy Solana korzystających z przeglądarki Google Chrome.

Według szczegółowej analizy przeprowadzonej przez założyciela platformy, występującego pod pseudonimem Meow, rozszerzenie przeglądarki zostało zaprojektowane tak, aby wysysać pieniądze użytkowników i może nawet ominąć kontrole symulacyjne Solany.

Użytkownicy Solany narażeni na ryzyko

Rozszerzenie, nazwane „Bull checker”, było promowane na platformie mediów społecznościowych Reddit na wielu forach związanych z Solaną. Reklamowało się jako narzędzie, które pozwala użytkownikom przeglądać wszystkich posiadaczy konkretnego memecoina.

W rzeczywistości rozszerzenie, które wydaje się normalne, może złośliwie przesyłać środki użytkownika do innego portfela, przechwytując i modyfikując transakcję, gdy użytkownik wchodzi w interakcję ze zdecentralizowaną aplikacją (Dapp).

Rozszerzenie zostało również zaprojektowane tak, aby uniknąć wykrycia przez narzędzia symulujące transakcje.

Konkretnie rzecz ujmując, rozszerzenie przejmuje metodę signTransaction portfela i przekazuje ją do zdalnego serwera kontrolowanego przez atakującego.

W tym przypadku transakcja jest modyfikowana tak, aby uwzględniała instrukcje, które usuwają środki z portfela użytkownika i przekazują uprawnienia atakującemu.

Gdy użytkownik w końcu podpisze transakcję, zmienione instrukcje zostają wykonane, co daje atakującemu pozwolenie na przeniesienie wszystkich tokenów z portfela ofiary.

Meow stwierdza, że rozszerzenie prosi użytkowników o uprawnienia do odczytu i zapisu podczas procesu instalacji, dodając, że jest to poważny „sygnał ostrzegawczy”, ponieważ każde rozszerzenie twierdzące, że robi to, co Bull checker, wymagałoby jedynie uprawnień „tylko do odczytu”. Założyciel dodał:

Według analizy rozszerzenie to dotyczyło tylko „niewielkiej liczby” użytkowników, ale nie ujawniono dalszych szczegółów. Tymczasem Jupiter wezwał użytkowników do odinstalowania wszelkich podejrzanych rozszerzeń, które wymagają podobnych uprawnień. Zapewnił swoją społeczność, że nie odkryto żadnych luk w zabezpieczeniach w żadnej z jego dapps ani portfeli.

Powtarzający się motyw w kryptowalucie

To nie pierwszy przypadek, gdy złośliwe rozszerzenie przeglądarki zaatakowało użytkowników kryptowalut.

Na przykład użytkownicy producenta sprzętowego portfela kryptowalut Ledger stali się celem fałszywego rozszerzenia podszywającego się pod aplikację Ledger Live, której właściciele portfeli używają do zatwierdzania transakcji. Rozszerzenie wymagałoby od użytkowników wprowadzania fraz źródłowych podczas instalacji, ostatecznie wykorzystując je do wysysania funduszy.

Na początku tego roku złośliwe rozszerzenie rzekomo naśladowało aplikację Aggr, która oferuje szereg narzędzi dla profesjonalnych traderów. Fałszywe rozszerzenie zostało zaprojektowane w celu zbierania plików cookie stron internetowych z przeglądarek internetowych ofiary i wykorzystywania ich do rekonstrukcji haseł i kluczy odzyskiwania, w szczególności ukierunkowanych na konta Binance.

Atakujący w przestrzeni kryptowalutowej nadal ewoluują, wykorzystując bardziej wyrafinowane taktyki mające na celu oszukanie ofiar. Jak wcześniej informował Invezz, oszuści kryptowalutowi zostali zauważeni, używając fałszywych linków Zoom do wdrażania złośliwego oprogramowania na komputerach z systemem Windows, co spowodowało utratę ponad 300 000 USD w funduszach.