Ekstensi Chrome Jahat 'Crypto Copilot' Tertangkap Menyuntikkan Biaya Tersembunyi ke dalam Pertukaran Solana

Sumber: CoinEdition Judul Asli: Ekstensi Chrome Jahat ‘Crypto Copilot’ Tertangkap Menyuntikkan Biaya Tersembunyi ke dalam Pertukaran Solana Tautan Asli: https://coinedition.com/malicious-chrome-extension-crypto-copilot-caught-injecting-hidden-fees-into-solana-swaps/

Peretasan, Tipu Daya, dan Perbaikan

• Peretasan: Ekstensi Chrome bernama “Crypto Copilot” secara diam-diam menambahkan biaya transfer pada pertukaran pengguna.
• Trik: Itu menyembunyikan instruksi SystemProgram.transfer di dalam transaksi Raydium yang sah.
• Perbaikan: Pengguna harus memverifikasi instruksi transaksi individual di pratinjau dompet mereka sebelum menandatangani.

Sebuah ekstensi browser jahat yang menyamar sebagai alat perdagangan Solana telah tertangkap mencuri dana dari pengguna dengan diam-diam memodifikasi muatan transaksi.

Peneliti keamanan mengidentifikasi ekstensi Chrome berbahaya yang diam-diam mencuri sejumlah kecil SOL dari pengguna Solana selama pertukaran. Ekstensi yang bernama Crypto Copilot ini terlihat seperti alat perdagangan biasa tetapi secara diam-diam menambahkan transfer ekstra ke setiap perdagangan.

Cara Kerja Ekstensi Palsu

Tim Penelitian Ancaman menemukan bahwa Crypto Copilot telah tersedia di Chrome Web Store sejak Juni 2024. Ini mengiklankan dirinya sebagai alat yang memungkinkan orang untuk memperdagangkan token Solana langsung dari umpan X mereka. Ekstensi ini menunjukkan harga token, terhubung ke dompet populer, dan terlihat sepenuhnya aman di permukaan.

Namun, ketika seorang pengguna melakukan swap, ekstensi membangun instruksi swap Raydium normal dan kemudian diam-diam menambahkan instruksi kedua. Instruksi tambahan mengirimkan SOL ke dompet yang dikendalikan oleh penyerang tanpa memberi tahu pengguna. Jumlah minimum yang diambil adalah 0.0013 SOL, atau 0.05 persen dari ukuran swap jika perdagangan cukup besar.

Dompet biasanya hanya menampilkan ringkasan utama dari sebuah transaksi. Kebanyakan pengguna tidak akan memperluas daftar instruksi lengkap, sehingga mereka tidak akan menyadari bahwa dua tindakan terpisah sedang ditandatangani sekaligus.

Tampak Legit di Luar; Mencurigakan di Dalam

Crypto Copilot berusaha keras untuk tampil seperti produk yang nyata dan membantu. Ia mendeteksi nama token di X, menunjukkan data DexScreener, dan mendukung dompet yang terkenal seperti Phantom dan Solflare. Ia juga hanya meminta izin dompet yang umum.

Namun backend mengungkapkan kebenaran. Ekstensi mengirim data ke domain yang tidak memiliki situs web nyata dan hanya menampilkan halaman kosong. Situs resmi mereka diparkir dan tidak menyimpan produk yang berfungsi. Bahkan domain backend memiliki kesalahan eja dalam namanya. Detail ini menunjukkan bahwa para pembuatnya tidak merencanakan untuk membangun layanan perdagangan yang nyata.

Kodenya juga sangat tersembunyi dan sulit dibaca. Bagian kunci, termasuk alamat dompet penyerang, terbenam di dalam skrip yang panjang dan membingungkan.

Biaya Tersembunyi Bertambah Seiring Waktu

Ekstensi mengenakan biaya kepada pengguna dengan dua cara. Untuk pertukaran di bawah 2,6 SOL, biaya minimum yang diambil adalah 0,0013 SOL. Untuk perdagangan di atas jumlah tersebut, biaya yang diambil adalah 0,05 persen dari pertukaran. Misalnya, perdagangan 100 SOL akan secara diam-diam mengirimkan 0,05 SOL kepada penyerang.

Sejauh ini, penyerang belum mengumpulkan banyak ($6.86), yang menunjukkan bahwa ekstensi belum menyebar luas. Namun, sistem dirancang untuk skala, yang berarti bahwa pedagang yang lebih besar atau sering dapat kehilangan jumlah yang signifikan tanpa menyadari.

Peringatan untuk Pengguna Solana

Para peneliti mengatakan bahwa ekstensi ini tidak pernah dimaksudkan untuk beroperasi sebagai produk nyata. Ini hanya ada untuk terlihat dapat dipercaya sambil mengambil biaya di latar belakang. Pengguna disarankan untuk menghindari ekstensi browser yang tidak dikenal, terutama yang meminta akses dompet atau menjanjikan perdagangan satu klik.

“Pasang ekstensi dompet hanya dari halaman penerbit yang terverifikasi, bukan hasil pencarian Chrome Web Store,” kata penelitian itu.