수개월간 지속된 브라우저 악성코드에 의해 스왑 거래가 가로채진 솔라나 트레이더들

솔라나 거래 보조 도구로 가장한 크롬 확장 프로그램이 수개월 동안 사용자 스왑 수수료를 몰래 빼돌렸으며, 난독화된 거래 로직을 사용해 모든 거래 중 일부를 공격자가 제어하는 지갑으로 경유시켰다.

사이버보안 업체 소켓(Socket)에 의해 표적됨 이번 주 초, ‘Crypto Copilot’ 확장 프로그램은 인기 있는 솔라나 DEX인 Raydium 트레이더들을 위한 편의 도구로 6월부터 Chrome 웹 스토어에서 제공되고 있었습니다.

그러나 Socket은 모든 Raydium 스왑에 두 번째 명령어를 주입하여 거래 금액의 0.0013 SOL 또는 0.05%를 하드코딩된 지갑으로 전송하는 것을 발견했습니다.

이 익스플로잇은 올바른 Raydium 스왑 명령어를 생성한 후 숨겨진 전송을 추가하는 단순한 메커니즘에 의존했습니다.

이것이 가능한 이유는 지갑 인터페이스가 일반적으로 명령어를 단일 스왑으로 요약하며, 묶인 거래가 원자적으로 실행되기 때문입니다 — 즉, 사용자는 모르는 사이에 둘 다 서명하게 됩니다. 패스트푸드 앱에서 "주문 확인" 버튼을 누르면 결제, 영수증 인쇄, 음식 및 잔돈 전달이 하나의 원활한 동작으로 묶여 실행되는 상황을 상상해 보십시오.

온체인 흐름은 현재까지 제한적인 채택을 시사하며, 공격자가 수집한 금액도 소액에 불과합니다. 그러나 이 메커니즘은 규모에 따라 확장되는데, 약 2.6 SOL 이상의 거래에 0.05%의 수수료가 적용되며, 이는 100 SOL 스왑의 경우 0.05 SOL, 즉 현재 가격 기준 약 10달러를 차감하게 됩니다.

여러 다른 신호들은 급히 조립된 인프라를 시사합니다. 이 확장 프로그램의 주요 도메인인 cryptocopilot[.]app은 GoDaddy에 등록되어 있으며, 오타가 포함된 백엔드 주소인 crypto-coplilot-dashboard[.]vercel[.]app은 지갑 메타데이터를 수집함에도 불구하고 빈 페이지를 반환합니다.

Socket는 공식적으로 구글에 삭제 요청을 제출했다고 밝혔으나, 작성 시점에는 해당 확장 프로그램이 여전히 활성 상태였다고 전했습니다. 또한, 사용자가 서명 권한을 요청하는 폐쇄형 소스 확장 프로그램을 피하고, Crypto Copilot과 상호작용한 경우 자산을 새로운 지갑으로 이전할 것을 경고했습니다.