Extensões maliciosas do Chrome furtivamente roubaram taxas de traders de Solana durante meses

Fonte: PortaldoBitcoin Título Original: Extensão do Chrome desvia taxas de traders de Solana há meses Link Original: Uma extensão do Chrome, comercializada como uma ferramenta de negociação prática, vem desviando secretamente Solana (SOL) das transações dos usuários desde junho passado, injetando taxas ocultas em cada transação enquanto se disfarça de assistente legítimo de negociação de Solana.

Socket网络安全公司在对Chrome Web Store进行"持续监控"时发现了恶意扩展Crypto Copilot，安全工程师兼研究员Kush Pandya报告了这一消息。

在对恶意扩展的分析中，Pandya写道，Crypto Copilot在每笔Solana交易中静默地添加了一条额外的转账指令，提取最低0.0013 SOL或交易金额的0.05%到攻击者控制的钱包。

“Nosso scanner de IA sinalizou vários indicadores: ofuscação agressiva de código, um endereço Solana embutido na lógica de transação e discrepâncias entre a funcionalidade declarada da extensão e o comportamento real da rede”, disse Pandya, acrescentando que “esses alertas desencadearam uma análise manual mais profunda que confirmou o mecanismo oculto de extração de taxas”.

A pesquisa aponta para riscos em ferramentas cripto baseadas em navegador, particularmente extensões que combinam integração com mídias sociais e recursos de assinatura de transações.

A extensão permaneceu disponível na Chrome Web Store por meses, sem nenhum aviso aos usuários sobre as taxas não divulgadas, ocultas em um código altamente ofuscado, afirma o relatório.

“O comportamento das taxas nunca é divulgado na página da extensão na Chrome Web Store, e a lógica que o implementa está oculta em um código altamente ofuscado”, observou Pandya.

Cada vez que um usuário troca tokens, a extensão gera a instrução de troca Raydium correta, mas discretamente adiciona uma transferência extra direcionando SOL para o endereço do atacante.

Raydium is a decentralized exchange and automated market maker based on the Solana cryptocurrency, while a “Raydium swap” simply refers to the exchange of one token for another through its liquidity pools.

Usuários que instalaram o Crypto Copilot, acreditando que ele simplificaria suas negociações com Solana, têm pago, sem saber, taxas ocultas a cada troca, taxas que nunca apareceram nos materiais de marketing da extensão ou na listagem da Chrome Web Store.

A interface mostra apenas os detalhes da troca, e pop-ups da carteira resumem a transação, de modo que os usuários assinam o que parece ser uma única troca, mesmo que ambas as instruções sejam executadas simultaneamente na blockchain.

A carteira do atacante recebeu apenas pequenas quantias até o momento, um sinal de que o Crypto Copilot ainda não atingiu muitos usuários, e não uma indicação de que a vulnerabilidade seja de baixo risco, conforme relatado.

O mecanismo de taxas é proporcional ao tamanho da transação. Para swaps abaixo de 2,6 SOL, aplica-se uma taxa mínima de 0,0013 SOL, e acima desse limite, entra em vigor uma taxa percentual de 0,05%. Isso significa que um swap de 100 SOL cobraria 0,05 SOL, aproximadamente US$ 10 aos preços atuais.

O domínio principal da extensão está registrado no GoDaddy, enquanto o backend exibe apenas uma página em branco, apesar de coletar dados de carteiras, segundo o relatório.

A Socket enviou uma solicitação de remoção à equipe de segurança da Chrome Web Store do Google, embora a extensão permanecesse disponível no momento da publicação.

A plataforma recomenda que os usuários revisem cada instrução antes de assinar transações, evitem extensões de negociação de código fechado que solicitem permissões de assinatura e migrem seus ativos para carteiras limpas caso tenham instalado o Crypto Copilot.

Padrões de malware

O malware continua sendo uma preocupação crescente para os usuários de criptomoedas. Em setembro, uma variante de malware chamada ModStealer foi descoberta visando carteiras de criptomoedas em sistemas Windows, Linux e macOS por meio de anúncios falsos de recrutamento de empregos, conseguindo escapar da deteção dos principais antivírus por quase um mês.

O diretor de tecnologia de uma plataforma de carteira, Charles Guillemet, já havia alertado que invasores haviam comprometido uma conta de desenvolvedor do NPM, com código malicioso tentando trocar silenciosamente endereços de carteiras de criptomoedas durante transações em múltiplas blockchains.