Extensão maliciosa do Chrome 'Cripto Copilot' apanhada a injetar taxas ocultas em trocas de Solana

Fonte: CoinEdition Título Original: Extensão maliciosa do Chrome ‘Crypto Copilot’ apanhada a injetar taxas ocultas em trocas de Solana Link Original: https://coinedition.com/malicious-chrome-extension-crypto-copilot-caught-injecting-hidden-fees-into-solana-swaps/

O Hack, Truque e Solução

• O Hack: Uma extensão do Chrome chamada “Crypto Copilot” adiciona secretamente uma taxa de transferência às trocas dos usuários.
• O Truque: Ele esconde uma instrução SystemProgram.transfer dentro de transações legítimas da Raydium.
• A Correção: Os utilizadores devem verificar as instruções de transação individuais na pré-visualização da sua carteira antes de assinar.

Uma extensão de navegador maliciosa que se disfarçava de ferramenta de negociação Solana foi apanhada a desviar fundos dos usuários ao modificar silenciosamente as cargas úteis das transações.

Pesquisadores de segurança identificaram a extensão maliciosa do Chrome que secretamente rouba pequenas quantidades de SOL de usuários da Solana durante trocas. A extensão, chamada Crypto Copilot, parece uma ferramenta de negociação normal, mas adiciona silenciosamente uma transferência extra a cada negociação.

Como Funciona a Extensão Falsa

As equipas de pesquisa de ameaças descobriram que o Crypto Copilot está disponível na Chrome Web Store desde junho de 2024. Ele anuncia-se como uma ferramenta que permite às pessoas negociar tokens Solana diretamente do seu feed X. A extensão mostra os preços dos tokens, conecta-se a carteiras populares e parece completamente segura à primeira vista.

No entanto, quando um utilizador realiza uma troca, a extensão constrói a instrução de troca normal do Raydium e, em seguida, adiciona secretamente uma segunda instrução. A instrução extra envia SOL para uma carteira controlada por um atacante sem informar o utilizador. A quantidade mínima retirada é de 0,0013 SOL ou 0,05 por cento do tamanho da troca se o negócio for grande o suficiente.

As carteiras geralmente mostram apenas o resumo principal de uma transação. A maioria dos usuários não irá expandir a lista completa de instruções, portanto, não notarão que duas ações separadas estão sendo assinadas ao mesmo tempo.

Parece Legítimo por Fora; Suspeito por Dentro

O Crypto Copilot esforça-se para parecer um produto real e útil. Ele detecta nomes de tokens no X, mostra dados do DexScreener e suporta carteiras bem conhecidas como Phantom e Solflare. Também pede apenas permissões comuns de carteira.

Mas o backend revela a verdade. A extensão envia dados para um domínio que não tem um site real e apenas exibe uma página em branco. O seu site oficial está estacionado e não hospeda nenhum produto em funcionamento. Mesmo o domínio do backend tem um erro de ortografia no seu nome. Esses detalhes mostram que os criadores não planeavam construir um serviço de negociação real.

O código também está fortemente oculto e é difícil de ler. Partes chave, incluindo o endereço da carteira do atacante, estão enterradas dentro de scripts longos e confusos.

As Taxas Ocultas Acumulam-se ao Longo do Tempo

A extensão cobra os usuários de duas maneiras. Para trocas abaixo de 2,6 SOL, cobra o mínimo de 0,0013 SOL. Para negociações acima desse valor, cobra 0,05 por cento da troca. Por exemplo, uma negociação de 100 SOL enviaria secretamente 0,05 SOL ao atacante.

Até agora, o atacante não coletou muito ($6.86), o que mostra que a extensão ainda não se espalhou amplamente. Mas o sistema foi projetado para escalar, o que significa que traders maiores ou frequentes podem perder quantias significativas sem saber.

Aviso para Utilizadores de Solana

Os pesquisadores dizem que esta extensão nunca foi destinada a operar como um produto real. Ela existe apenas para parecer confiável enquanto cobra taxas em segundo plano. Os usuários são aconselhados a evitar extensões de navegador desconhecidas, especialmente aquelas que pedem acesso à carteira ou prometem negociação com um clique.

“Instale extensões de carteira apenas a partir de páginas de editores verificados, e não dos resultados de pesquisa da Chrome Web Store,” disse a pesquisa.