Малicious расширение Chrome 'Crypto Copilot' поймали на инжекции скрытых сборов в обменах Solana

Источник: CoinEdition Оригинальное название: Зловредное расширение Chrome «Crypto Copilot» поймано за внедрением скрытых сборов в свопы Solana Исходная ссылка: https://coinedition.com/malicious-chrome-extension-crypto-copilot-caught-injecting-hidden-fees-into-solana-swaps/

Взлом, трюк и исправление

• Взлом: Расширение Chrome под названием “Crypto Copilot” тайно добавляет сбор при обменах пользователей.
• Уловка: Она скрывает инструкцию SystemProgram.transfer внутри легитимных транзакций Raydium.
• Исправление: Пользователи должны проверить индивидуальные инструкции по транзакциям в предварительном просмотре своего кошелька перед подписанием.

Зловредное расширение для браузера, выдающее себя за инструмент для торговли Solana, было поймано на том, что оно тайно siphoning средства у пользователей, изменяя полезную нагрузку транзакций.

Исследователи безопасности выявили вредоносное расширение Chrome, которое тайно похищает небольшие суммы SOL у пользователей Solana во время обменов. Расширение, названное Crypto Copilot, выглядит как обычный инструмент для торговли, но незаметно добавляет дополнительный перевод к каждой сделке.

Как работает поддельное расширение

Группы исследования угроз обнаружили, что Crypto Copilot доступен в Chrome Web Store с июня 2024 года. Он рекламирует себя как инструмент, который позволяет людям торговать токенами Solana напрямую из их X ленты. Расширение показывает цены токенов, соединяется с популярными кошельками и на первый взгляд выглядит совершенно безопасным.

Однако, когда пользователь выполняет обмен, расширение создает обычную инструкцию обмена Raydium, а затем тайно добавляет вторую инструкцию. Дополнительная инструкция отправляет SOL на кошелек, контролируемый злоумышленником, не уведомляя пользователя. Минимальная сумма, которая снимается, составляет 0.0013 SOL или 0.05 процента от размера обмена, если сделка достаточно велика.

Кошельки обычно показывают только основной обзор транзакции. Большинство пользователей не развернут полный список инструкций, поэтому они не заметят, что одновременно подписываются два отдельных действия.

С виду выглядит легитимно; внутри подозрительно

Crypto Copilot старается выглядеть как настоящий и полезный продукт. Он обнаруживает названия токенов на X, показывает данные DexScreener и поддерживает известные кошельки, такие как Phantom и Solflare. Он также запрашивает только общие разрешения для кошельков.

Но бэкэнд раскрывает правду. Расширение отправляет данные на домен, у которого нет настоящего веб-сайта, и который просто отображает пустую страницу. Его официальный веб-сайт заблокирован и не хостит ни одного работающего продукта. Даже в названии домена бэкэнда есть опечатка. Эти детали показывают, что создатели не планировали создавать настоящий торговый сервис.

Код также сильно скрыт и труден для чтения. Ключевые части, включая адрес кошелька атакующего, зарыты внутри длинных и запутанных скриптов.

Скрытые сборы накапливаются со временем

Расширение взимает плату с пользователей двумя способами. За обмены меньше 2.6 SOL оно берет минимум 0.0013 SOL. За сделки выше этой суммы оно берет 0.05 процента от обмена. Например, сделка на 100 SOL тайно отправит 0.05 SOL атакующему.

На данный момент злоумышленник не собрал много ($6.86), что показывает, что расширение еще не распространилось широко. Но система разработана с учетом масштабируемости, что означает, что более крупные или частые трейдеры могут потерять значительные суммы, не подозревая об этом.

Предупреждение для пользователей Solana

Исследователи говорят, что это расширение никогда не предназначалось для работы как настоящий продукт. Оно существует только для того, чтобы выглядеть надежным, пока берет комиссии в фоновом режиме. Пользователям рекомендуется избегать неизвестных расширений браузера, особенно тех, которые просят доступ к кошельку или обещают однокнопочную торговлю.

“Устанавливайте расширения для кошелька только с проверенных страниц издателей, а не из результатов поиска в Chrome Web Store,” - говорится в исследовании.