Badacze cyberbezpieczeństwa w Socket nieosłonięty złośliwe rozszerzenie do przeglądarki Chrome Crypto Copilot, które wstrzykuje ukryte opłaty za przelew Solana do transakcji wymiany Raydium w sklepie Chrome Web Store. Opublikowany autor: użytkownik sjclark76, 7 maja 2024 r., rozszerzenie ma 12 instalacji i pozostaje dostępne do pobrania. Rozszerzenie prezentuje się jako narzędzie do handlu kryptowalutą bezpośrednio na X, zapewniając wgląd w czasie rzeczywistym i bezproblemową realizację. Za tą fasadą Crypto Copilot manipuluje transakcjami opartymi na Solanie realizowanymi na Raydium, zdecentralizowanej giełdzie i zautomatyzowanym animatorze rynku zbudowanego na Solana blockchain. Gdy użytkownicy inicjują wymianę za pośrednictwem Raydium, rozszerzenie aktywuje zaciemniony kod, który dołącza dodatkową instrukcję do transakcji, zanim osiągnie ona etap podpisu użytkownika. Ta wstrzyknięta instrukcja składa się z a Metoda SystemProgram.transferktóry kieruje środki z portfela użytkownika na zakodowany na stałe adres kontrolowany przez atakującego. Kwota przelewu stanowi minimum 0,0013 SOL lub 0,05 procent całkowitej wartości transakcji, w zależności od tego, która wartość jest większa. W przypadku swapów przekraczających 2,6 SOL opłata wzrasta do 2,6 SOL plus 0,05 procent kwoty swapu. Badacz bezpieczeństwa gniazd, Kush Pandya, szczegółowo opisał mechanizm w opublikowanym we wtorek raporcie, stwierdzając: „Za interfejsem rozszerzenie dodaje dodatkowy transfer do każdej wymiany Solana, odprowadzając co najmniej 0,0013 SOL, czyli 0,05% kwoty transakcji do zakodowanego na stałe portfela kontrolowanego przez atakującego”. Aby uniknąć wykrycia, złośliwy kod wykorzystuje techniki minifikacji i zmienia nazwy zmiennych, co utrudnia analizę skryptu. Użytkownicy nie napotykają żadnych widocznych oznak tej zmiany podczas procesu transakcji. Interfejs użytkownika rozszerzenia wyświetla tylko standardowe szczegóły wymiany, pomijając wszelkie odniesienia do ukrytej opłaty. W rezultacie osoby zazwyczaj zatwierdzają transakcję bez świadomości potrącenia, chyba że ręcznie przejrzą każdą instrukcję przed podpisaniem. Crypto Copilot integruje się z serwerem backendowym pod adresem crypto-coplilot-dashboard.vercel.app, gdzie rejestruje podłączone portfele, pobiera punkty i informacje o poleceniach oraz rejestruje działania użytkowników. Powiązana domena cryptocopilot.app nie służy żadnemu rzeczywistemu produktowi i działa wyłącznie jako zwodnicza infrastruktura. Rozszerzenie dodatkowo wzmacnia jego pozory legalności, włączając usługi DexScreener do danych rynkowych i Helius RPC do interakcji blockchain. Miejscem docelowym wyprowadzanych środków jest portfel osobisty, odrębny od skarbca protokołu, co komplikuje weryfikację użytkownika. Pandya podkreślił tę subtelność, zauważając: „Ponieważ ten przelew jest dodawany po cichu i wysyłany do osobistego portfela, a nie do skarbca protokołu, większość użytkowników nigdy tego nie zauważy, jeśli nie sprawdzi każdej instrukcji przed podpisaniem”. Dodał, że w ogólnej konfiguracji priorytetem jest uniknięcie kontroli platformy, zauważając: „Otaczająca infrastruktura wydaje się zaprojektowana wyłącznie po to, aby przejść recenzję w sklepie Chrome Web Store i zapewnić pozory legalności, jednocześnie ściągając opłaty w tle”.
