Поделиться этой статьей
Трейдеры Solana пострадали от многомесячного вредоносного ПО в браузере, которое похищало данные при каждой сделке
Интерфейсы кошельков обычно сводят инструкции к единой операции обмена, и объединённая транзакция выполняется атомарно — то есть пользователи невольно подтверждают обе операции.
Сделайте нас предпочтительным источником в Google
Что нужно знать:
- Расширение для Chrome под названием «Crypto Copilot» тайно перенаправляло комиссии с сделок в сети Solana на кошелек злоумышленника.
- Расширение, выявленное компанией по кибербезопасности Socket, было доступно в интернет-магазине Chrome с июня.
- Пользователям рекомендуется избегать использования закрытых расширений с правами подписи и переместить активы, если они использовали Crypto Copilot.
Расширение для Chrome, выдающее себя за помощника по торговле на Solana, в течение нескольких месяцев незаметно списывало комиссии с пользовательских обменов, используя запутанную логику транзакций для направления части каждой сделки на кошелёк, контролируемый злоумышленником.
Помечено кибербезопасной компанией Socket ранее на этой неделе, расширение «Crypto Copilot» было доступно в Chrome Web Store с июня в качестве удобного инструмента для трейдеров на популярной бирже Solana DEX Raydium.
Продолжение Читайте Ниже
Не пропустите другую историю.Подпишитесь на рассылку Crypto Daybook Americas сегодня. Просмотреть все рассылки
Однако Socket обнаружила, что в каждую операцию обмена на Raydium внедряется вторая инструкция — перевод либо 0,0013 SOL, либо 0,05% от суммы сделки на жестко заданный кошелек.
Эксплойт основывался на простом механизме генерации корректной инструкции для свопа в Raydium с последующим добавлением скрытого перевода.
Это сработало, потому что интерфейсы кошельков обычно сводят инструкции к одной операции обмена, а объединённая транзакция выполняется атомарно — то есть пользователи бессознательно подтверждают обе операции. Представьте, что вы заказываете бургер через приложение фастфуда, где кнопка «подтвердить заказ» на самом деле объединяет оплату, печать чека и передачу вашей еды с сдачей — всё в одном бесшовном действии.
Данные о потоках в блокчейне указывают на ограниченное распространение данного механизма на данный момент, при этом злоумышленник получил лишь незначительные суммы. Однако данный механизм масштабируется с объемом операций: сделки свыше примерно 2,6 SOL активируют комиссию в размере 0,05%, что означает, что обмен на 100 SOL «выведет» 0,05 SOL, или около 10 долларов США по текущим ценам.
Несколько других признаков указывают на поспешно собранную инфраструктуру. Основной домен расширения, cryptocopilot[.]app, зарегистрирован через GoDaddy, в то время как его бэкенд — crypto-coplilot-dashboard[.]vercel[.]app, содержащий орфографическую ошибку, возвращает пустую страницу, несмотря на сбор метаданных кошелька.
Компания Socket заявила, что направила в Google официальное требование о блокировке расширения, однако на момент написания материала оно оставалось активным. Пользователей предупредили о необходимости избегать закрытых расширений с правами подписи и рекомендовали перенести активы на новые кошельки в случае взаимодействия с Crypto Copilot.
