Compartir este artículo
Los Comerciantes de Solana Afectados por Malware en Navegador de Varios Meses que Raspaba Cada Intercambio
Las interfaces de billeteras suelen resumir las instrucciones como un único intercambio, y la transacción agrupada se ejecuta de manera atómica, lo que significa que los usuarios aprueban ambos sin darse cuenta.
Haz que nos prefieran en Google
Lo que debes saber:
- Una extensión de Chrome llamada 'Crypto Copilot' redirigió secretamente las comisiones de las operaciones en Solana hacia la billetera de un atacante.
- La extensión, señalada por la firma de ciberseguridad Socket, estuvo disponible en la Chrome Web Store desde junio.
- Se recomienda a los usuarios evitar las extensiones de código cerrado con privilegios de firma y trasladar sus activos si utilizaron Crypto Copilot.
Una extensión de Chrome que se presentaba como un asistente de trading de Solana drenó silenciosamente comisiones de los intercambios de los usuarios durante meses, utilizando una lógica de transacciones ofuscada para redirigir una parte de cada operación a una billetera controlada por un atacante.
Marcado por la firma de ciberseguridad Socket a principios de esta semana, la extensión ‘Crypto Copilot’ ha estado disponible en la Chrome Web Store desde junio como una herramienta de conveniencia para los operadores en el popular DEX de Solana, Raydium.
CONTINÚA MÁS ABAJO
No te pierdas otra historia.Suscríbete al boletín de Crypto Daybook Americas hoy. Ver todos los boletines
Sin embargo, Socket descubrió que inyectaba una segunda instrucción en cada intercambio de Raydium — transfiriendo ya sea 0.0013 SOL o el 0.05% del monto de la operación a una cartera codificada de forma rígida.
La explotación se basó en un mecanismo sencillo de generar la instrucción correcta de intercambio en Raydium, para luego añadir una transferencia oculta.
Esto funcionó porque las interfaces de billeteras generalmente resumen las instrucciones como un solo intercambio, y la transacción agrupada se ejecuta de manera atómica, lo que significa que los usuarios aceptan sin saberlo ambos. Imagine pedir una hamburguesa a través de una aplicación de comida rápida donde el botón de "confirmar pedido" en realidad agrupa el pago, la impresión del recibo y la entrega de su comida y cambio, todo en un solo movimiento fluido.
Los flujos on-chain sugieren una adopción limitada hasta ahora, con solo pequeñas cantidades recolectadas por el atacante. Pero el mecanismo escala con el tamaño: las operaciones superiores a aproximadamente 2.6 SOL activan la comisión del 0.05%, lo que significa que un intercambio de 100 SOL extraería 0.05 SOL, o alrededor de $10 al precio actual.
Varios otros indicios apuntan a una infraestructura ensamblada apresuradamente. El dominio principal de la extensión, cryptocopilot[.]app, está alojado en GoDaddy, mientras que su backend — crypto-coplilot-dashboard[.]vercel[.]app, con un error ortográfico — devuelve una página en blanco a pesar de recopilar metadatos de carteras.
Socket declaró que ha presentado una solicitud formal de eliminación a Google, aunque la extensión seguía activa al momento de redactar este texto. Advirtió a los usuarios evitar extensiones de código cerrado que requieran privilegios de firma y migrar activos a nuevas billeteras si habían interactuado con Crypto Copilot.
