恶意Chrome扩展程序暗中从Solana交易者处窃取费用数月

Source: PortaldoBitcoin Original Title: Extensão do Chrome desvia taxas de traders de Solana há meses Original Link: Uma extensão do Chrome, comercializada como uma ferramenta de negociação prática, vem desviando secretamente Solana (SOL) das transações dos usuários desde junho passado, injetando taxas ocultas em cada transação enquanto se disfarça de assistente legítimo de negociação de Solana.

A empresa de cibersegurança Socket descobriu a extensão maliciosa Crypto Copilot durante o “monitoramento contínuo” da Chrome Web Store, conforme relatado pelo engenheiro e pesquisador de segurança Kush Pandya.

Em uma análise da extensão maliciosa, Pandya escreveu que o Crypto Copilot adiciona silenciosamente uma instrução de transferência extra a cada transação de troca de Solana, extraindo um mínimo de 0,0013 SOL ou 0,05% do valor da negociação para uma carteira controlada pelo atacante.

“Nosso scanner de IA sinalizou vários indicadores: ofuscação agressiva de código, um endereço Solana embutido na lógica de transação e discrepâncias entre a funcionalidade declarada da extensão e o comportamento real da rede”, disse Pandya, acrescentando que “esses alertas desencadearam uma análise manual mais profunda que confirmou o mecanismo oculto de extração de taxas”.

A pesquisa aponta para riscos em ferramentas cripto baseadas em navegador, particularmente extensões que combinam integração com mídias sociais e recursos de assinatura de transações.

A extensão permaneceu disponível na Chrome Web Store por meses, sem nenhum aviso aos usuários sobre as taxas não divulgadas, ocultas em um código altamente ofuscado, afirma o relatório.

“O comportamento das taxas nunca é divulgado na página da extensão na Chrome Web Store, e a lógica que o implementa está oculta em um código altamente ofuscado”, observou Pandya.

Cada vez que um usuário troca tokens, a extensão gera a instrução de troca Raydium correta, mas discretamente adiciona uma transferência extra direcionando SOL para o endereço do atacante.

A Raydium é uma exchange descentralizada e formadora de mercado automatizada baseada na criptomoeda Solana, enquanto uma “troca Raydium” se refere simplesmente à troca de um token por outro através de seus pools de liquidez.

Usuários que instalaram o Crypto Copilot, acreditando que ele simplificaria suas negociações com Solana, têm pago, sem saber, taxas ocultas a cada troca, taxas que nunca apareceram nos materiais de marketing da extensão ou na listagem da Chrome Web Store.

A interface mostra apenas os detalhes da troca, e pop-ups da carteira resumem a transação, de modo que os usuários assinam o que parece ser uma única troca, mesmo que ambas as instruções sejam executadas simultaneamente na blockchain.

A carteira do atacante recebeu apenas pequenas quantias até o momento, um sinal de que o Crypto Copilot ainda não atingiu muitos usuários, e não uma indicação de que a vulnerabilidade seja de baixo risco, conforme relatado.

O mecanismo de taxas é proporcional ao tamanho da transação. Para swaps abaixo de 2,6 SOL, aplica-se uma taxa mínima de 0,0013 SOL, e acima desse limite, entra em vigor uma taxa percentual de 0,05%. Isso significa que um swap de 100 SOL cobraria 0,05 SOL, aproximadamente US$ 10 aos preços atuais.

O domínio principal da extensão está registrado no GoDaddy, enquanto o backend exibe apenas uma página em branco, apesar de coletar dados de carteiras, segundo o relatório.

A Socket enviou uma solicitação de remoção à equipe de segurança da Chrome Web Store do Google, embora a extensão permanecesse disponível no momento da publicação.

A plataforma recomenda que os usuários revisem cada instrução antes de assinar transações, evitem extensões de negociação de código fechado que solicitem permissões de assinatura e migrem seus ativos para carteiras limpas caso tenham instalado o Crypto Copilot.

Padrões de malware

O malware continua sendo uma preocupação crescente para os usuários de criptomoedas. Em setembro, uma variante de malware chamada ModStealer foi descoberta visando carteiras de criptomoedas em sistemas Windows, Linux e macOS por meio de anúncios falsos de recrutamento de empregos, conseguindo escapar da detecção dos principais antivírus por quase um mês.

O diretor de tecnologia de uma plataforma de carteira, Charles Guillemet, já havia alertado que invasores haviam comprometido uma conta de desenvolvedor do NPM, com código malicioso tentando trocar silenciosamente endereços de carteiras de criptomoedas durante transações em múltiplas blockchains.