Поділитися цією статтею
Трейдери Solana постраждали від багатомісячного шкідливого програмного забезпечення у браузері, яке знімало кошти з кожної операції обміну
Інтерфейси гаманців зазвичай узагальнюють інструкції як одну операцію обміну, і пакетна транзакція виконується атомарно — тобто користувачі несвідомо погоджуються на обидві.
Зробіть нас пріоритетним джерелом у Google
Що варто знати:
- Розширення для Chrome під назвою «Crypto Copilot» таємно перенаправляло збори з торгів на Solana до гаманця зловмисника.
- Розширення, виявлене компанією з кібербезпеки Socket, було доступне в Chrome Web Store з червня.
- Користувачам рекомендується уникати розширень із закритим кодом, що мають права підписання, та перевести активи, якщо вони використовували Crypto Copilot.
Розширення для Chrome, що видавало себе за помічника з торгівлі Solana, протягом кількох місяців тихо знімало комісії з обмінів користувачів, використовуючи зашифровану логіку транзакцій для переадресації частини кожної угоди на гаманець, контрольований зловмисником.
Позначено кібербезпековою компанією Socket на початку цього тижня, розширення «Crypto Copilot» було доступне в Chrome Web Store з червня як зручний інструмент для трейдерів на популярній Solana DEX Raydium.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку Crypto Daybook Americas вже сьогодні. Переглянути всі розсилки
Однак Socket виявив, що він вставляє другу інструкцію в кожен своп Raydium — переводячи або 0,0013 SOL, або 0,05% від суми угоди на жорстко запрограмований гаманець.
Експлойт базувався на простому механізмі генерації коректної інструкції обміну Raydium, а потім додаванні прихованого переказу.
Це спрацювало, тому що інтерфейси гаманців зазвичай узагальнюють інструкції у вигляді однієї операції обміну, а об’єднана транзакція виконується атомарно — тобто користувачі несвідомо підтверджують обидві дії. Уявіть, що ви замовляєте бургер через додаток швидкого харчування, де кнопка «підтвердити замовлення» насправді об’єднує оплату, друк чека й передачу їжі та решти — усе одним безперервним рухом.
Ончейн-потоки свідчать про обмежене впровадження на цей час, при цьому зловмисник зібрав лише незначні суми. Проте механізм масштабується залежно від розміру: операції понад приблизно 2.6 SOL активують комісію у розмірі 0,05%, що означає, що обмін на 100 SOL відніме 0,05 SOL, або близько 10 доларів за поточними цінами.
Декілька інших сигналів вказують на поспішно зібрану інфраструктуру. Основний домен розширення, cryptocopilot[.]app, розміщений на GoDaddy, у той час як його бекенд — crypto-coplilot-dashboard[.]vercel[.]app, з помилкою у назві — повертає порожню сторінку, незважаючи на збір метаданих гаманця.
Компанія Socket заявила, що подала офіційну заявку на видалення до Google, хоча на момент написання розширення залишалося активним. Вона попередила користувачів уникати закритих розширень, які вимагають права підпису, а також перенести активи на нові гаманці, якщо вони взаємодіяли з Crypto Copilot.
