Des extensions Chrome malveillantes volent secrètement des frais aux traders de Solana depuis des mois.

Source : PortaldoBitcoin Titre original : L'extension Chrome détourne les frais des traders de Solana depuis des mois Lien original : Une extension Chrome, commercialisée comme un outil de trading pratique, a dévié secrètement Solana (SOL) des transactions des utilisateurs depuis juin dernier, injectant des frais cachés dans chaque transaction tout en se déguisant en assistant légitime de trading de Solana.

La société de cybersécurité Socket a découvert l'extension malveillante Crypto Copilot lors de la “surveillance continue” de la Chrome Web Store, comme l'a rapporté l'ingénieur et chercheur en sécurité Kush Pandya.

Dans une analyse de l'extension malveillante, Pandya a écrit que le Crypto Copilot ajoute silencieusement une instruction de transfert supplémentaire à chaque transaction d'échange de Solana, extrayant un minimum de 0,0013 SOL ou 0,05 % de la valeur de la transaction vers un portefeuille contrôlé par l'attaquant.

“Notre scanner IA a signalé plusieurs indicateurs : l'obscurcissement agressif du code, une adresse Solana intégrée dans la logique de transaction et des divergences entre la fonctionnalité déclarée de l'extension et le comportement réel du réseau”, a déclaré Pandya, ajoutant que “ces alertes ont déclenché une analyse manuelle plus approfondie qui a confirmé le mécanisme caché d'extraction de frais”.

La recherche indique des risques liés aux outils crypto basés sur le navigateur, en particulier les extensions qui combinent l'intégration avec les médias sociaux et les fonctionnalités de signature des transactions.

L'extension est restée disponible sur le Chrome Web Store pendant des mois, sans aucun avertissement aux utilisateurs concernant les frais non divulgués, cachés dans un code hautement obfusqué, affirme le rapport.

“Le comportement des frais n'est jamais divulgué sur la page de l'extension dans le Chrome Web Store, et la logique qui l'implémente est cachée dans un code hautement obfusqué”, a observé Pandya.

Chaque fois qu'un utilisateur échange des tokens, l'extension génère l'instruction d'échange Raydium correcte, mais ajoute discrètement un transfert supplémentaire dirigeant SOL vers l'adresse de l'attaquant.

Raydium est une exchange décentralisée et un market maker automatisé basé sur la cryptomonnaie Solana, tandis qu'un “échange Raydium” fait simplement référence à l'échange d'un token contre un autre via ses pools de liquidité.

Les utilisateurs qui ont installé le Crypto Copilot, croyant qu'il simplifierait leurs négociations avec Solana, ont payé, sans le savoir, des frais cachés à chaque échange, des frais qui n'ont jamais été mentionnés dans les matériaux marketing de l'extension ou dans la liste de la Chrome Web Store.

L'interface ne montre que les détails de l'échange, et les pop-ups du portefeuille résument la transaction, de sorte que les utilisateurs signent ce qui semble être un échange unique, même si les deux instructions sont exécutées simultanément sur la blockchain.

Le portefeuille de l'attaquant n'a reçu que de petites sommes jusqu'à présent, un signe que le Crypto Copilot n'a pas encore atteint de nombreux utilisateurs, et non une indication que la vulnérabilité soit de faible risque, comme reporté.

Le mécanisme de frais est proportionnel à la taille de la transaction. Pour les échanges inférieurs à 2,6 SOL, des frais minimum de 0,0013 SOL s'appliquent, et au-delà de cette limite, un taux pourcentage de 0,05 % entre en vigueur. Cela signifie qu'un échange de 100 SOL coûterait 0,05 SOL, soit environ 10 $ aux prix actuels.

Le domaine principal de l'extension est enregistré chez GoDaddy, tandis que le backend affiche seulement une page blanche, bien qu'il collecte des données de portefeuilles, selon le rapport.

A Socket a envoyé une demande de suppression à l'équipe de sécurité du Chrome Web Store de Google, bien que l'extension soit restée disponible au moment de la publication.

La plateforme recommande aux utilisateurs de réviser chaque instruction avant de signer des transactions, d'éviter les extensions de trading à code fermé qui demandent des autorisations de signature et de migrer leurs actifs vers des portefeuilles propres s'ils ont installé le Crypto Copilot.

Modèles de malware

Les malwares continuent d'être une préoccupation croissante pour les utilisateurs de cryptomonnaies. En septembre, une variante de malware appelée ModStealer a été découverte ciblant les portefeuilles de cryptomonnaies sur les systèmes Windows, Linux et macOS par le biais de fausses annonces de recrutement, réussissant à échapper à la détection des principaux antivirus pendant près d'un mois.

Le directeur technique d'une plateforme de portefeuille, Charles Guillemet, avait déjà averti que des intrus avaient compromis un compte développeur de NPM, avec du code malveillant tentant de changer silencieusement les adresses de portefeuilles de cryptomonnaies lors de transactions sur plusieurs blockchains.