Розширення Chrome Crypto Copilot таємно відводить збори трейдерів Solana

Джерело: PortaldoBitcoin Оригінальна назва: Розширення Chrome вже кілька місяців відволікає збори трейдерів Solana Оригінальне посилання: https://portaldobitcoin.uol.com.br/extensao-do-chrome-desvia-taxas-de-traders-de-solana-ha-meses/ Розширення для Chrome, що рекламується як зручний інструмент для торгівлі, таємно відволікає Solana (SOL) від транзакцій користувачів з минулого червня, впроваджуючи приховані збори в кожну транзакцію, поки маскується під законного помічника з торгівлі Solana.

Компанія з кібербезпеки Socket виявила шкідливе розширення Crypto Copilot під час “безперервного моніторингу” магазину Chrome Web Store, як повідомив інженер та дослідник безпеки Куш Пандья.

Аналіз шкідливого розширення

У детальному аналізі шкідливого розширення Пандья написав, що Crypto Copilot тихо додає додаткову інструкцію на переказ до кожної транзакції обміну Solana, витягуючи мінімум 0,0013 SOL або 0,05% від вартості угоди до гаманця, контрольованого зловмисником.

“Наш сканер ШІ виявив кілька показників: агресивне затемнення коду, вбудовану в логіку транзакції адресу Solana та розбіжності між заявленою функціональністю розширення та реальним поведінкою мережі”, - сказав Пандья, додавши, що “ці сповіщення спровокували більш глибокий ручний аналіз, який підтвердив прихований механізм збору зборів”.

Дослідження вказує на ризики в криптоінструментах на базі браузера, зокрема, розширеннях, які поєднують інтеграцію з соціальними мережами та функції підписання транзакцій.

Непрозорість

Розширення залишалося доступним у Chrome Web Store протягом кількох місяців, без жодних попереджень користувачам про не розкриті збори, приховані в сильно замаскованому коді, стверджує звіт.

“Поводження з тарифами ніколи не розголошується на сторінці розширення в Chrome Web Store, і логіка, яка його реалізує, прихована в сильно замаскованому коді”, зазначив Пандья.

Кожного разу, коли користувач обмінює токени, розширення генерує правильну інструкцію обміну Raydium, але непомітно додає додатковий переказ, спрямовуючи SOL на адресу зловмисника.

Raydium - це децентралізована біржа та автоматизований маркет-мейкер, що базується на криптовалюті Solana, тоді як “обмін Raydium” просто стосується обміну одного токена на інший через його ліквідні пули.

Вплив на користувачів

Користувачі, які встановили Crypto Copilot, вважаючи, що він спростить їхні угоди з Solana, платять, не знаючи, приховані збори з кожної угоди, збори, які ніколи не з'являлися в маркетингових матеріалах розширення або в списку Chrome Web Store.

Інтерфейс показує лише деталі обміну, а спливаючі вікна гаманця підсумовують транзакцію, так що користувачі підписують те, що виглядає як єдиний обмін, навіть якщо обидва інструкції виконуються одночасно в блокчейні.

Гаманець атакувальника отримав лише незначні суми до цього часу, що є ознакою того, що Crypto Copilot ще не досяг багатьох користувачів, а не вказує на те, що вразливість є низькоризиковою, як повідомлялося.

Структура зборів

Механізм збору зборів пропорційний розміру транзакції. Для свопів нижче 2,6 SOL застосовується мінімальний збір у 0,0013 SOL, а вище цього ліміту діє відсотковий збір у 0,05%. Це означає, що своп на 100 SOL стягне 0,05 SOL, приблизно 10 доларів США за поточними цінами.

Головний домен розширення, cryptocopilot.app, зареєстрований на GoDaddy, тоді як бекенд відображає лише порожню сторінку, незважаючи на збір даних з гаманців, згідно з звітом.

Рекомендації з безпеки

Сокет надіслав запит на видалення команді безпеки Chrome Web Store від Google. Платформа рекомендує користувачам:

• Перегляньте кожну інструкцію перед підписанням транзакцій
• Уникайте закритих торгових розширень, які вимагають дозволів на підпис.
• Мігруйте свої активи до чистих гаманців, якщо ви встановили Crypto Copilot

Контекст: Стандарти шкідливого ПЗ у криптографії

Шкідливе програмне забезпечення залишається зростаючою проблемою для користувачів криптовалют. У вересні була виявлена варіація шкідливого програмного забезпечення під назвою ModStealer, яка націлювалася на криптовалютні гаманці в системах Windows, Linux та macOS через фальшиві оголошення про вакансії, змогла уникнути виявлення основними антивірусами протягом майже місяця.

Технічний директор компаній з кібербезпеки вже попереджав, що зловмисники скомпрометували рахунки розробників, використовуючи шкідливий код, який намагається непомітно змінювати адреси криптовалютних гаманців під час транзакцій у кількох блокчейнах.