Condividi questo articolo
I trader di Solana colpiti da malware nel browser durato mesi che ha sottratto ogni swap
Le interfacce dei wallet solitamente riassumono le istruzioni come un unico swap, e la transazione aggregata viene eseguita in modo atomico—il che significa che gli utenti firmano inconsapevolmente entrambe.
Rendici preferiti su Google
Cosa sapere:
- Un'estensione per Chrome chiamata 'Crypto Copilot' ha reindirizzato segretamente le commissioni derivanti da operazioni su Solana al portafoglio di un aggressore.
- L'estensione, segnalata dalla società di cybersecurity Socket, è stata disponibile sul Chrome Web Store da giugno.
- Si raccomanda agli utenti di evitare estensioni closed-source con privilegi di firma e di trasferire gli asset qualora abbiano utilizzato Crypto Copilot.
Un'estensione per Chrome che si presentava come un assistente di trading Solana ha sottratto silenziosamente commissioni dagli scambi degli utenti per mesi, utilizzando una logica di transazione offuscata per instradare una quota di ogni operazione a un portafoglio controllato dall'attaccante.
Segnalato dalla società di cybersecurity Socket all'inizio di questa settimana, l’estensione ‘Crypto Copilot’ era disponibile sul Chrome Web Store da giugno come strumento di comodità per i trader sulla popolare DEX Solana Raydium.
La storia continua sotto
Non perderti un'altra storia.Iscriviti alla Newsletter Crypto Daybook Americas oggi. Vedi tutte le newsletter
Tuttavia, Socket ha rilevato che veniva inserita una seconda istruzione in ogni swap su Raydium — trasferendo o 0,0013 SOL o lo 0,05% dell'importo della transazione a un portafoglio codificato in modo fisso.
L’exploit si è basato su un meccanismo semplice di generazione della corretta istruzione di swap Raydium, seguito dall’aggiunta di un trasferimento nascosto.
Questo ha funzionato perché le interfacce dei wallet generalmente riassumono le istruzioni come un’unica operazione di swap, e la transazione congiunta viene eseguita in maniera atomica — il che significa che gli utenti firmano inconsapevolmente entrambe le operazioni. Immaginate di ordinare un hamburger tramite un’app di fast-food dove il pulsante "conferma ordine" in realtà unisce pagamento, stampa della ricevuta e consegna del cibo e del resto — tutto in un’unica mossa fluida.
I flussi on-chain suggeriscono finora un'adozione limitata, con solo piccole quantità raccolte dall'attaccante. Tuttavia, il meccanismo scala con la dimensione: operazioni superiori a circa 2,6 SOL attivano la commissione dello 0,05%, il che significa che uno scambio di 100 SOL sottrarrebbe 0,05 SOL, circa 10 dollari ai prezzi attuali.
Diversi altri segnali indicano un’infrastruttura assemblata frettolosamente. Il dominio principale dell’estensione, cryptocopilot[.]app, è parcheggiato su GoDaddy, mentre il suo backend — crypto-coplilot-dashboard[.]vercel[.]app, completo di un errore di ortografia — restituisce una pagina bianca nonostante raccolga i metadata del portafoglio.
Socket ha dichiarato di aver presentato una richiesta formale di rimozione a Google, sebbene l'estensione fosse ancora attiva al momento della stesura. Ha avvertito gli utenti di evitare estensioni closed-source che richiedono privilegi di firma e di migrare gli asset su nuovi portafogli se avevano interagito con Crypto Copilot.
