Rozszerzenie Google Chrome do handlu kryptowalutami jest skierowane do użytkowników Solany

Atakujący używają złośliwego rozszerzenia Google Chrome udające narzędzie ułatwiające handel, aby wykraść niewielkie porcje SOL z kieszeni niczego nieświadomych użytkowników Solany.

Według badań przeprowadzonych przez firmę zajmującą się cyberbezpieczeństwem Socket, rozszerzenie Chrome jest obecnie nadal dostępne w Chrome Web Store pod nazwą "Crypto Copilot."

Jest reklamowany jako środek zwiększający produktywność, który pozwala użytkownikom realizować transakcje Solana bezpośrednio z ich kanału X.

Rozszerzenie ma obecnie ocenę 1 gwiazdkę i tylko 18 pobrań na moment publikacji, ale jest aktywne od 18 czerwca 2024 roku.

Jak Crypto Copilot kieruje działania do użytkowników Solany?

Na pierwszy rzut oka Crypto Copilot spełnia wszystkie wymagania legalnego narzędzia, integrując różne zewnętrzne API, takie jak DexScreener do danych cenowych, Helius do dostępu do infrastruktury Solana oraz Phantom lub Solflare do połączeń portfelowych.

Te funkcje sprawiają, że wygląda i działa jak prawdziwy zdecentralizowany interfejs handlowy, podczas gdy w tle cicho pobiera ukrytą opłatę.

"Żadna z tych usług sama w sobie nie jest złośliwa, ale razem tworzą przekonującą fasadę wokół sedna problemu: każda wymiana zawiera nieujawniony transfer SOL do zakodowanego na stałe portfela osobistego," napisał Socket.

Do realizacji transakcji korzysta z Raydium, zdecentralizowanej giełdy na Solanie, która pozwala użytkownikom na wymianę tokenów.

Ale za kulisami dodaje dodatkową instrukcję, która przenosi niewielką część transakcji na portfel atakującego.

Na pierwszy rzut oka użytkownik widzi tylko oczekiwane szczegóły zamiany.

Ekrany potwierdzenia portfela jedynie podsumowują transakcję bez ujawniania pojedynczych instrukcji, nie dając żadnych oczywistych wskazówek, że dwie czynności są wykonywane jednocześnie.

Podczas wykonywania transakcji użytkownicy są proszeni o zatwierdzenie transakcji tylko raz, przy czym zarówno prawidłowe, jak i złośliwe instrukcje wykonują się razem jako jedna atomowa operacja.

Analiza on-chain przeprowadzona przez Socket wykazała jak dotąd tylko ograniczoną liczbę transferów na portfel atakującego, co zespół przypisuje temu, że rozszerzenie nie zostało szeroko promowane lub jest jeszcze na wczesnym etapie dystrybucji.

Jednak rozszerzenie zostało zbudowane z myślą o efektywnym skalowaniu, a Socket ostrzega, że potencjalne szkody rosną wraz z wielkością i częstotliwością transakcji.

"Użytkownicy z większymi udziałami lub aktywnością handlową o dużym wolumenie mogą ponieść znacznie większe straty, jeśli nieświadomie będą polegać na tym przedłużeniu przy rutynowych swapach. Z czasem atakujący gromadzi SOL bezpośrednio w swoim prywatnym portfelu, zamieniając rozszerzenie w mechanizm powtarzających się przychodów, a nie w legalny interfejs DEX," dodał Socket.

Socket zachęca użytkowników do przeglądania każdej instrukcji transakcji przed podpisaniem, zwłaszcza na Solanie, gdzie takie złośliwe zachowania można wykryć tylko wtedy, gdy użytkownik ręcznie rozwinie i sprawdzi każdą instrukcję.

Ci, którzy już zainstalowali Crypto Copilot, powinni natychmiast przenieść swoje środki do czystego portfela i natychmiast cofnąć wszystkie wcześniej powiązane strony.

Złośliwe rozszerzenia Chrome wciąż się pojawiają

Crypto Copilot to tylko jedno z wielu zwodniczych rozszerzeń do Chrome, które pojawiły się w Chrome Web Store.

Od początku zeszłego roku liczba ataków z wykorzystaniem złośliwych rozszerzeni rośnie, a niektóre z nich zdołały zgarnąć miliony skradzionych środków.

W zeszłym roku Invezz informował o Bull Checker, kolejnym fałszywym rozszerzeniu, które celowało w użytkowników Solany, udając narzędzie do tworzenia memecoinów.

W rzeczywistości przejął transakcje, aby przekierować środki użytkowników do portfela kontrolowanego przez atakującego.

Tymczasem w sierpniu badacze z Koi Security odkryli, że grupa znana jako GreedyBear przejęła kryptowaluty o wartości ponad 1 miliona dolarów, korzystając ze złośliwych rozszerzeń do przeglądarek, złośliwego oprogramowania i stron oszukańczych w skoordynowanej operacji obejmującej wiele wektorów ataków.