Ekstensi Chrome jahat diam-diam mencuri biaya dari trader Solana selama berbulan-bulan

Sumber: PortaldoBitcoin Judul Asli: Ekstensi Chrome mengalihkan biaya pedagang Solana selama berbulan-bulan Link Asli: Sebuah ekstensi Chrome, yang dipasarkan sebagai alat perdagangan praktis, telah secara diam-diam mengalihkan Solana (SOL) dari transaksi pengguna sejak bulan Juni lalu, menyuntikkan biaya tersembunyi di setiap transaksi sementara menyamar sebagai asisten perdagangan Solana yang sah.

Perusahaan keamanan siber Socket menemukan ekstensi jahat Crypto Copilot selama “pemantauan berkelanjutan” di Chrome Web Store, seperti dilaporkan oleh insinyur dan peneliti keamanan Kush Pandya.

Dalam analisis tentang jangkauan berbahaya, Pandya menulis bahwa Crypto Copilot secara diam-diam menambahkan instruksi transfer tambahan pada setiap transaksi pertukaran Solana, mengekstrak minimal 0,0013 SOL atau 0,05% dari nilai perdagangan ke dompet yang dikendalikan oleh penyerang.

“Pemindai AI kami telah menunjukkan beberapa indikator: pengaburan kode yang agresif, alamat Solana yang disematkan dalam logika transaksi, dan ketidaksesuaian antara fungsi yang dinyatakan dari ekstensi dan perilaku nyata dari jaringan,” kata Pandya, menambahkan bahwa “peringatan ini memicu analisis manual yang lebih mendalam yang mengonfirmasi mekanisme tersembunyi untuk penarikan biaya.”

Penelitian menunjukkan adanya risiko pada alat kripto berbasis browser, khususnya ekstensi yang menggabungkan integrasi dengan media sosial dan fitur tanda tangan transaksi.

Ekstensi tersebut tetap tersedia di Chrome Web Store selama berbulan-bulan, tanpa pemberitahuan kepada pengguna tentang biaya yang tidak diungkapkan, yang tersembunyi dalam kode yang sangat tersamar, klaim laporan tersebut.

“Perilaku tarif tidak pernah diumumkan di halaman ekstensi di Chrome Web Store, dan logika yang mengimplementasikannya tersembunyi dalam kode yang sangat terobfuscate,” kata Pandya.

Setiap kali seorang pengguna menukar token, ekstensi menghasilkan instruksi pertukaran Raydium yang benar, tetapi secara diam-diam menambahkan transfer ekstra yang mengarahkan SOL ke alamat penyerang.

Raydium adalah bursa terdesentralisasi dan pembentuk pasar otomatis yang berbasis pada cryptocurrency Solana, sementara “pertukaran Raydium” merujuk hanya pada pertukaran satu token dengan token lainnya melalui kolam likuiditasnya.

Pengguna yang menginstal Crypto Copilot, percaya bahwa itu akan menyederhanakan perdagangan mereka dengan Solana, telah membayar, tanpa disadari, biaya tersembunyi setiap kali bertukar, biaya yang tidak pernah muncul dalam materi pemasaran ekstensi atau dalam daftar Chrome Web Store.

Antarmuka hanya menunjukkan detail pertukaran, dan pop-up dompet merangkum transaksi, sehingga pengguna menandatangani apa yang tampak seperti satu pertukaran, meskipun kedua instruksi dieksekusi secara bersamaan di blockchain.

Dompet penyerang hanya menerima jumlah kecil hingga saat ini, sebuah tanda bahwa Crypto Copilot belum menjangkau banyak pengguna, dan bukan indikasi bahwa kerentanannya merupakan risiko rendah, seperti yang dilaporkan.

Mekanisme biaya sebanding dengan ukuran transaksi. Untuk swap di bawah 2,6 SOL, dikenakan biaya minimum sebesar 0,0013 SOL, dan di atas batas tersebut, berlaku biaya persentase sebesar 0,05%. Ini berarti bahwa swap sebesar 100 SOL akan dikenakan biaya 0,05 SOL, sekitar US$ 10 dengan harga saat ini.

Domain utama ekstensi terdaftar di GoDaddy, sementara backend hanya menampilkan halaman kosong, meskipun mengumpulkan data dompet, menurut laporan.

Sebuah Socket mengirimkan permintaan penghapusan kepada tim keamanan Chrome Web Store dari Google, meskipun ekstensi tersebut tetap tersedia pada saat publikasi.

Platform merekomendasikan agar pengguna meninjau setiap instruksi sebelum menandatangani transaksi, menghindari ekstensi perdagangan kode tertutup yang meminta izin tanda tangan, dan memigrasikan aset mereka ke dompet bersih jika mereka telah menginstal Crypto Copilot.

Pola malware

Malware terus menjadi kekhawatiran yang semakin besar bagi pengguna cryptocurrency. Pada bulan September, varian malware bernama ModStealer ditemukan menargetkan dompet cryptocurrency di sistem Windows, Linux, dan macOS melalui iklan palsu perekrutan pekerjaan, berhasil menghindari deteksi dari antivirus utama selama hampir sebulan.

Direktur teknologi dari platform dompet, Charles Guillemet, telah memperingatkan bahwa penyerang telah mengkompromikan akun pengembang NPM, dengan kode berbahaya yang mencoba secara diam-diam menukar alamat dompet cryptocurrency selama transaksi di beberapa blockchain.