A extensão ‘Crypto Copilot’ do Chrome Solana desvia secretamente os fundos dos usuários para troca, destacando os riscos de segurança da criptografia do navegador.
resumo
A extensão Crypto Copilot Chrome incorpora instruções de transferência ocultas nas transações de swap Solana. A empresa de segurança cibernética Socket revelou o desvio de fundos secretos para as carteiras dos invasores por meio de comandos ocultos. Este incidente destacou a vulnerabilidade das ferramentas de criptografia baseadas em navegador e a necessidade de validação das transações do usuário.
Solana, uma extensão do navegador Chrome projetada para negociação de criptomoedas, desvia secretamente fundos dos usuários incorporando instruções de transferência ocultas em transações de swap, de acordo com um relatório da empresa de segurança cibernética Socket’s Threat Research Team.
Chamada de “Crypto Copilot”, a extensão permite que os usuários negociem tokens SOL (SOL) diretamente do X, anteriormente conhecido como Twitter, e redirecione secretamente uma parte de cada transação para uma carteira controlada pelo invasor, informou Socket. Cada swap executado por meio desta extensão contém uma instrução oculta que transfere 0,05% do valor da transação, ou um mínimo de 0,0013 SOL, para um endereço de carteira codificado.
De acordo com o relatório, o Crypto Copilot será lançado na Chrome Web Store em meados de 2024 e está se comercializando como uma ferramenta para transações instantâneas da Solana. Socket disse que os usuários só veem a negociação de swap principal na tela de confirmação, resumindo a negociação sem divulgar instruções adicionais de transferência.
A extensão usa técnicas de ofuscação, como minificação de código e renomeação de variáveis, para ocultar seu comportamento malicioso, disse a empresa de segurança cibernética. O software se comunica com um servidor back-end hospedado em crypto-coplilot-dashboard.vercel.app, onde registra carteiras conectadas, rastreia a atividade do usuário e relata dados de referência, disse o relatório.
O segundo domínio associado à extensão, cryptocopilot.app, permanece suspenso e não funciona. Socket apontou que a falta de um painel operacional é inconsistente com uma plataforma de negociação formal.
O Crypto Copilot aproveita o Raydium, um criador de mercado automatizado no blockchain Solana, para executar swaps. De acordo com o relatório, a extensão adiciona uma instrução SystemProgram.transfer oculta a cada transação, completando uma transferência atômica na cadeia que desvia fundos enquanto o usuário aprova o que parece ser uma única transação.
Extensão do navegador Solana Crypto Copilot pesquisada por Socket
Embora o número de instalações permaneça baixo, Socket alertou que as perdas cumulativas são muitas vezes um risco significativo para os comerciantes. A empresa disse que o desvio gradual de fundos pode se acumular sem ser detectado, ilustrando a ameaça mais ampla à segurança representada pelas ferramentas de criptomoeda baseadas em navegador.
De acordo com relatórios da indústria, incidentes anteriores envolveram extensões maliciosas do Chrome e Firefox direcionadas a carteiras de criptomoedas como MetaMask, Phantom e Coinbase.
O incidente destacou vulnerabilidades na segurança da criptomoeda baseada em navegador e a importância da validação da transação antes da aprovação, disse Socket. O relatório conclui que pode ser necessário aumentar o monitoramento e a supervisão do ecossistema de extensões do Chrome para proteger os usuários de finanças descentralizadas, à medida que as ferramentas baseadas em navegador integram cada vez mais a funcionalidade de negociação de criptografia.
De acordo com Socket, os comerciantes de Solana são aconselhados a verificar a legitimidade da extensão, revisar detalhadamente os procedimentos de negociação e monitorar as atualizações dos pesquisadores de segurança cibernética.
