Các tiện ích mở rộng Chrome độc hại đã âm thầm đánh cắp phí từ các nhà giao dịch Solana trong nhiều tháng.

Source: PortaldoBitcoin Tiêu đề gốc: Tiện ích mở rộng Chrome đã đánh lừa phí của các nhà giao dịch Solana trong nhiều tháng. Liên kết gốc: Một tiện ích mở rộng của Chrome, được quảng cáo như một công cụ giao dịch tiện lợi, đã lén lút đánh cắp Solana (SOL) từ các giao dịch của người dùng kể từ tháng 6 năm ngoái, tiêm các khoản phí ẩn vào mỗi giao dịch trong khi ngụy trang như một trợ lý giao dịch hợp pháp của Solana.

Công ty an ninh mạng Socket đã phát hiện ra tiện ích mở rộng độc hại Crypto Copilot trong quá trình “giám sát liên tục” của Chrome Web Store, theo báo cáo của kỹ sư và nhà nghiên cứu an ninh Kush Pandya.

Trong một phân tích về tính độc hại, Pandya đã viết rằng Crypto Copilot âm thầm thêm một lệnh chuyển khoản bổ sung vào mỗi giao dịch hoán đổi Solana, rút ra tối thiểu 0,0013 SOL hoặc 0,05% giá trị giao dịch vào một ví do kẻ tấn công kiểm soát.

“Máy quét AI của chúng tôi đã chỉ ra nhiều chỉ báo: mã hóa mã nguồn tấn công, một địa chỉ Solana được nhúng trong logic giao dịch và sự không nhất quán giữa chức năng được tuyên bố của tiện ích mở rộng và hành vi thực tế của mạng”, Pandya cho biết, thêm rằng “những cảnh báo này đã kích hoạt một phân tích thủ công sâu hơn xác nhận cơ chế ẩn của việc thu phí.”

Nghiên cứu chỉ ra những rủi ro trong các công cụ tiền điện tử dựa trên trình duyệt, đặc biệt là các tiện ích mở rộng kết hợp tích hợp với mạng xã hội và các tính năng ký giao dịch.

Tiện ích mở rộng đã có sẵn trên Cửa hàng Web Chrome trong nhiều tháng mà không có bất kỳ thông báo nào cho người dùng về các khoản phí không được tiết lộ, ẩn trong một mã nguồn được làm rối rất cao, báo cáo cho biết.

“Hành vi của các mức phí không bao giờ được công bố trên trang mở rộng trong Cửa hàng Chrome Web, và logic thực hiện nó được ẩn giấu trong một mã rất khó hiểu”, Pandya lưu ý.

Mỗi khi một người dùng đổi token, tiện ích mở rộng tạo ra lệnh đổi Raydium chính xác, nhưng một cách kín đáo thêm một giao dịch chuyển tiền extra hướng tới địa chỉ của kẻ tấn công.

Raydium là một sàn giao dịch phi tập trung và là một nhà tạo lập thị trường tự động dựa trên tiền điện tử Solana, trong khi một “sàn Raydium” chỉ đơn giản đề cập đến việc trao đổi một token này lấy một token khác thông qua các pool thanh khoản của nó.

Người dùng đã cài đặt Crypto Copilot, tin rằng nó sẽ đơn giản hóa các giao dịch của họ với Solana, đã vô tình phải trả các khoản phí ẩn mỗi lần giao dịch, những khoản phí chưa bao giờ xuất hiện trong tài liệu tiếp thị của tiện ích mở rộng hoặc trong danh sách của Chrome Web Store.

Giao diện chỉ hiển thị chi tiết giao dịch, và các pop-up từ ví tóm tắt giao dịch, để người dùng ký vào những gì có vẻ như là một giao dịch duy nhất, mặc dù cả hai lệnh đều được thực hiện đồng thời trên blockchain.

Ví của kẻ tấn công chỉ nhận được một số lượng nhỏ cho đến nay, một dấu hiệu cho thấy Crypto Copilot vẫn chưa đạt được nhiều người dùng, và không phải là chỉ báo rằng lỗ hổng này có rủi ro thấp, như đã báo cáo.

Cơ chế phí là tỷ lệ với kích thước giao dịch. Đối với các giao dịch dưới 2,6 SOL, sẽ áp dụng một mức phí tối thiểu là 0,0013 SOL, và trên mức đó, sẽ áp dụng một mức phí phần trăm là 0,05%. Điều này có nghĩa là một giao dịch 100 SOL sẽ tính phí 0,05 SOL, khoảng 10 USD theo giá hiện tại.

Tên miền chính của phần mở rộng đã được đăng ký tại GoDaddy, trong khi backend chỉ hiển thị một trang trắng, mặc dù đã thu thập dữ liệu từ các ví, theo báo cáo.

Một Socket đã gửi yêu cầu xóa tới đội ngũ bảo mật của Chrome Web Store của Google, mặc dù tiện ích mở rộng vẫn có sẵn tại thời điểm xuất bản.

Nền tảng khuyến nghị người dùng xem xét từng hướng dẫn trước khi ký kết giao dịch, tránh các tiện ích mở rộng giao dịch mã nguồn đóng yêu cầu quyền ký và di chuyển tài sản của họ đến ví sạch nếu họ đã cài đặt Crypto Copilot.

Mẫu mã độc

Malware tiếp tục là một mối quan tâm ngày càng tăng đối với người dùng tiền điện tử. Vào tháng Chín, một biến thể malware có tên ModStealer đã được phát hiện nhắm vào các ví tiền điện tử trên hệ thống Windows, Linux và macOS thông qua các quảng cáo giả mạo tuyển dụng việc làm, thành công trong việc tránh sự phát hiện của các phần mềm diệt virus hàng đầu trong gần một tháng.

Giám đốc công nghệ của một nền tảng ví, Charles Guillemet, đã cảnh báo rằng những kẻ xâm nhập đã xâm phạm một tài khoản nhà phát triển của NPM, với mã độc cố gắng âm thầm thay đổi địa chỉ ví tiền điện tử trong các giao dịch trên nhiều blockchain.