Μια μυστική επέκταση περιηγητή με την ετικέτα ‘Crypto Copilot’ εντοπίστηκε ότι απέσυρε προμήθειες συναλλαγών από τις ανταλλαγές Solana των χρηστών για μήνες πριν την εντοπίσει η εταιρεία κυβερνοασφάλειας Socket. Η επέκταση, διαθέσιμη στο Chrome Web Store από τον Ιούνιο του 2025, εμφανιζόταν ως βοηθός συναλλαγών για χρήστες του Raydium αλλά εκτελούσε κρυφές εντολές μεταφοράς παράλληλα με νόμιμες συναλλαγές ανταλλαγών.
Με την εγκατάσταση, το ‘Crypto Copilot’ εισήγαγε μια επιπλέον εντολή σε κάθε πακέτο ανταλλαγής DEX, αποσπώντας είτε 0.0013 SOL είτε το 0.05% του ποσού της ανταλλαγής σε ένα πορτοφόλι που ελέγχεται από τον επιτιθέμενο. Εκμεταλλευόμενη την ατομική εκτέλεση συναλλαγών στο Solana, η επέκταση παρέκαμψε τις προειδοποιήσεις της διεπαφής του πορτοφολιού, προκαλώντας τους ανυποψίαστους χρήστες να εξουσιοδοτήσουν ταυτόχρονα τόσο τις προβλεπόμενες όσο και τις κακόβουλες μεταφορές.
Η ανάλυση στο blockchain έδειξε μέχρι στιγμής λίγα θύματα, με μικρή συνολική ζημία. Ωστόσο, η επίθεση κλιμακώνεται γραμμικά με τον όγκο των συναλλαγών, και μπορεί να αποσπάσει σημαντικά ποσά από εμπόρους με υψηλό όγκο. Για παράδειγμα, μια ανταλλαγή 100 SOL θα ανακατευθύνει 0.05 SOL, ισοδύναμο με περίπου 10 δολάρια σε τρέχουσες συναλλαγματικές ισοτιμίες ανά συναλλαγή.
Οι ειδικοί ασφαλείας επισήμαναν ότι η υποδομή backend της επεκτάσεως δεν διέθετε επιχειρησιακή ωριμότητα. Ο κύριος χώρος domain cryptocopilot.app βρισκόταν σε γενική υπηρεσία φιλοξενίας, ενώ το endpoint του πίνακα ελέγχου περιείχε ορθογραφικά λάθη, επιστρέφοντας κενές σελίδες. Τέτοια λάθη υποδηλώνουν ότι το exploit πιθανώς προήλθε από ερασιτεχνικούς δράστες ή από μια εργασία με ελεύθερους επαγγελματίες, παρά από μια εξελιγμένη εκστρατεία με κρατικό προσανατολισμό.
Οι διαδικασίες του Chrome Web Store επέτρεψαν στην επέκταση να παραμείνει ενεργή παρά τους αυτοματοποιημένους μηχανισμούς ελέγχου. Η Socket υπέβαλε επίσημο αίτημα αφαίρεσης, αλλά τη στιγμή της αναφοράς η αφαίρεση βρισκόταν σε εκκρεμότητα. Οι χρήστες συνιστάται να ελέγχουν εγκατεστημένες επεκτάσεις, να αποσύρουν τα δικαιώματα υπογραφής και να μεταφέρουν τα κεφάλαιά τους σε νέα πορτοφόλια εάν είχαν αλληλεπιδράσει με το ευπαθές εργαλείο.
Οι πλατφόρμα κρυπτονομισμάτων και οι πάροχοι πορτοφολιών έχουν παροτρυνθεί να εφαρμόσουν ελέγχους εγγραφής επέκτασης σε λευκή λίστα, ροές έγκρισης πολλαπλών υπογραφών και ανάγνωση συναλλαγών σε πραγματικό χρόνο για τον εντοπισμό προσθεμένων εντολών. Οι συμμετέχοντες του κλάδου αξιολογούν βελτιωμένες ευρετικές μεθόδους για να σηματοδοτούν σύνθετες συναλλαγές που αποκλίνουν από τα τυπικά πρότυπα ανταλλαγών.
Ιδιαίτερα, το περιστατικό τονίζει ευρύτερους κινδύνους που συνδέονται με τη χορήγηση δικαιωμάτων υπογραφής σε επεκτάσεις περιηγητών, καθώς ο κλειστός κώδικας μπορεί να κρύβει κακόβουλη λογική. Κοινότητες ελέγχου, εργαλεία ανοιχτού κώδικα και αποκεντρωμένα πρωτόκολλα υπογραφής έχουν προταθεί ως στρατηγικές μετριασμού για την προστασία των ροών περιουσιακών στοιχείων στο blockchain.
Καθώς αυξάνεται η δραστηριότητα στον χώρο του DeFi, η επίθεση τονίζει την ανάγκη για αυστηρά πρότυπα ασφάλειας στο επίπεδο της διεπαφής χρήστη. Οι προγραμματιστές και οι διαχειριστές πρέπει να συνεργαστούν για να εξισορροπήσουν τα χαρακτηριστικά ευκολίας με ισχυρούς ελέγχους ασφαλείας, διασφαλίζοντας ότι οι εγκρίσεις των χρηστών αντικατοπτρίζουν ακριβώς τις μεμονωμένες εντολές που εκτελούνται στο blockchain. Χωρίς τέτοια μέτρα, παρόμοιες επιθέσεις εξαναγκασμού προμήθειας ή μετακίνησης κεφαλαίων μπορεί να εξαπλωθούν σε πλατφόρμες.
Οι ερευνητές συνεχίζουν να παρακολουθούν το πορτοφόλι του επιτιθέμενου για περαιτέρω συναλλαγές και να συντονίζονται με τις αρχές επιβολής του νόμου για τον εντοπισμό των κλεμμένων κεφαλαίων. Η κοινότητα του Solana, οι χειριστές ανταλλαγών και οι εταιρείες κυβερνοασφάλειας συνεργάζονται για να μοιραστούν πληροφορίες απειλών και να ενισχύσουν τις βέλτιστες πρακτικές για ασφαλείς αλληλεπιδράσεις μέσω προγραμμάτων περιήγησης σε περιβάλλοντα αποκεντρωμένου εμπορίου.
Σχόλια (0)