Usuários do Solana correm risco, pois extensão maliciosa do Google Chrome drena fundos
- Jupiter warns of malicious extension stealing funds by altering Solana transactions.
- The extension has the ability to evade Solana's transaction simulation checks.
- Jupiter urges users to uninstall any suspicious extensions.
A Jupiter, uma exchange descentralizada na Solana, emitiu um alerta sobre uma extensão maliciosa do navegador que tem como alvo usuários da Solana que usam o Google Chrome.
De acordo com uma análise detalhada do fundador da plataforma, conhecido pelo apelido Meow, a extensão do navegador foi projetada para drenar os fundos dos usuários e pode até mesmo ignorar as verificações de simulação do Solana.
Usuários de Solana em risco
Copy link to sectionApelidada de “Bull checker”, a extensão estava sendo promovida na plataforma de mídia social Reddit em muitos de seus fóruns relacionados a Solana. Ela se anunciava como uma ferramenta que permite aos usuários visualizar todos os detentores de uma memecoin específica.
Na realidade, a extensão, que parece normal, pode transferir maliciosamente fundos do usuário para uma carteira diferente, interceptando e modificando a transação quando um usuário interage com um aplicativo descentralizado (Dapp).
A extensão também foi projetada para evitar a detecção por ferramentas de simulação de transações.
Especificamente, a extensão sequestra o método signTransaction da carteira e o encaminha para um servidor remoto controlado pelo invasor.
Aqui, a transação é modificada para incluir instruções que drenam fundos da carteira do usuário e transferem autoridade para o invasor.
Quando um usuário finalmente assina a transação, as instruções alteradas são executadas, o que dá ao invasor permissão para transferir todos os tokens da carteira da vítima.
Meow afirma que a extensão pede permissão de leitura e escrita dos usuários durante o processo de instalação, acrescentando que isso era um grande “sinal de alerta”, pois qualquer extensão que alegasse fazer o que o Bull checker faz exigiria apenas permissão “somente leitura”. O fundador acrescentou:
Houve relatos de outros drenos que não conseguimos rastrear. Se você suspeitar que uma extensão contém malware, particularmente se ela tiver permissões de “leitura” e “alteração”, desinstale-a imediatamente.
De acordo com a análise, essa extensão afetou apenas um “pequeno número” de usuários, mas mais detalhes não foram divulgados. Enquanto isso, a Jupiter pediu aos usuários que desinstalassem quaisquer extensões suspeitas que exijam permissões semelhantes. Ela garantiu à sua comunidade que nenhuma vulnerabilidade foi descoberta em nenhum de seus dapps ou carteiras.
Um tema recorrente em criptomoedas
Copy link to sectionEste não é o primeiro incidente em que uma extensão maliciosa do navegador teve como alvo usuários de criptomoedas.
Por exemplo, usuários do fabricante de carteiras de hardware de criptomoedas Ledger foram alvos de uma extensão falsa disfarçada como o aplicativo Ledger Live, que os proprietários de carteiras usam para aprovar transações. A extensão exigiria que os usuários inserissem suas frases-semente durante a instalação, usando-a, em última análise, para drenar fundos.
No início deste ano, uma extensão maliciosa estava supostamente imitando o aplicativo Aggr, que oferece uma variedade de ferramentas para traders profissionais. A extensão falsa foi projetada para coletar cookies de sites dos navegadores da vítima e usá-los para reconstruir senhas e chaves de recuperação, mirando especificamente contas da Binance.
Os invasores no espaço de criptomoedas continuaram a evoluir, usando táticas mais sofisticadas projetadas para enganar as vítimas. Conforme relatado anteriormente pela Invezz, golpistas de criptomoedas foram flagrados usando links falsos do Zoom para implantar malware em computadores Windows, resultando na perda de mais de US$ 300.000 em fundos.
Este artigo foi traduzido do inglês com a ajuda de ferramentas de IA, tendo sido depois revisto e editado por um tradutor local.
