- O Hack: Uma extensão do Chrome chamada “Crypto Copilot” secretamente adiciona uma transferência de taxas para swaps de usuários.
- O truque: ele esconde uma instrução SystemProgram.transfer dentro de transações legítimas da Raydium.
- A Correção: Os usuários devem verificar as instruções individuais de transação na prévia da carteira antes de assinar.
Uma extensão maliciosa de navegador disfarçada de ferramenta de negociação Solana foi pega desviando fundos dos usuários ao modificar silenciosamente os payloads das transações.
Pesquisadores de segurança identificaram a extensão prejudicial do Chrome para roubar secretamente pequenas quantidades de SOL dos usuários da Solana durante swaps. A extensão, chamada Crypto Copilot , parece uma ferramenta de negociação normal, mas silenciosamente adiciona uma transferência extra a cada operação.
Como funciona a extensão falsa
A equipe de Pesquisa de Ameaças da Socket descobriu que o Crypto Copilot está disponível na Chrome Web Store desde junho de 2024. Ela se anuncia como uma ferramenta que permite às pessoas trocar tokens Solana diretamente do feed X delas. A extensão mostra os preços dos tokens, conecta-se a carteiras populares e parece completamente segura à primeira vista.
No entanto, quando um usuário realiza uma troca, a extensão constrói a instrução normal de troca do Raydium e então adiciona secretamente uma segunda instrução. A instrução extra envia o prazo de prescrição para uma carteira controlada pelo atacante sem informar o usuário. O valor mínimo tomado é 0,0013 SOL, ou 0,05% do tamanho do swap se a negociação for grande o suficiente.
As carteiras geralmente mostram apenas o resumo principal de uma transação. A maioria dos usuários não expandirá a lista completa de instruções, então não perceberão que duas ações separadas estão sendo assinadas ao mesmo tempo.
Parece legítimo por fora; suspeito por dentro
O Crypto Copilot se esforça para parecer um produto real e útil. Ele detecta nomes de tokens no X, mostra dados do DexScreener e suporta carteiras conhecidas como Phantom e Solflare. Também pede apenas permissões para carteiras comuns.
Mas o backend revela a verdade. A extensão envia dados para um domínio que não possui um site real e exibe apenas uma página em branco. Seu site oficial está estacionado e não abriga nenhum produto funcional. Até mesmo o domínio backend tem um erro de ortografia no nome. Esses detalhes mostram que os criadores não planejaram construir um serviço de negociação real.
O código também é muito oculto e difícil de ler. Partes-chave, incluindo o endereço da carteira do atacante, estão escondidas em scripts longos e confusos.
As taxas ocultas se acumulam com o tempo
A extensão cobra dos usuários de duas formas. Para swaps abaixo de 2,6 SOL, o mínimo é de 0,0013 SOL. Para operações acima desse valor, ele representa 0,05% do swap. Por exemplo, uma troca de 100 SOL enviaria secretamente 0,05 SOL para o atacante.
Relacionado: Empresa de criptomoedas apoiada por Trump perde outro CEO após negócio de tokens de US$ 1,5 bilhão
Até agora, o atacante não arrecadou muito ($6,86), o que mostra que a extensão ainda não se espalhou amplamente. Mas o sistema é projetado para escalar, o que significa que traders maiores ou frequentes podem perder quantias significativas sem perceber.
Aviso para usuários de Solana
Pesquisadores dizem que essa extensão nunca foi feita para operar como um produto real. Ele existe apenas para parecer confiável enquanto cobra taxas em segundo plano. Recomenda-se que os usuários evitem extensões de navegador desconhecidas, especialmente aquelas que pedem acesso à carteira ou prometem negociação com um clique.
“Instale extensões de carteira apenas a partir das páginas dos publicadores verificados, não dos resultados de busca da Chrome Web Store”, disse a pesquisa.
Relacionado: Ethereum aumenta o limite de gás para 60 milhões, escalonando camada base antes da atualização da Fusaka
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
