Rejtett böngészőbővítmény, amelyet ‘Crypto Copilot’-ként azonosítottak, hónapok óta elszívta a felhasználók Solana swapjainak díjait, mire a Socket kiberbiztonsági cég azonosította. A bővítmény a Chrome Web Store-ban 2025 júniusa óta elérhető volt, Raydium felhasználóinak kereskedési segédként mutatta magát, de a legitim swap-tranzakciók mellett rejtett átviteli utasításokat hajtott végre.
Telepítéskor a ‘Crypto Copilot’ egy további utasítást injektált minden DEX swap-csomagba, és 0.0013 SOL-t, vagy a swap összegének 0.05%-át egy támadó által ellenőrzött pénztárcába irányította. A Solana atomikus tranzakció-végrehajtásának kihasználásával a bővítmény megkerülte a pénztárca interfészének figyelmeztetéseit, így a felhasználók egyszerre hagyták jóvá mind a szándékolt, mind a rosszindulatú átutalásokat.
Az on-chain elemzés eddig kevés áldozatot tárt fel, csekély összes veszteséggel. Azonban a támadás lineárisan nő a kereskedési volumen növekedésével, így jelentős összegeket sodorhat ki nagy forgalmú kereskedőktől. Például egy 100 SOL-os swap esetén 0.05 SOL kerül átirányításra, ami a jelenlegi árfolyamok szerint körülbelül 10 dollárnak felel meg tranzakciónként.
Biztonsági szakértők megállapították, hogy a bővítmény backend-infrastruktúrája nem volt érett az üzemeltetésre. A fő domain, cryptocopilot.app, egy általános hosting-szolgáltatónál volt regisztrálva, míg a dashboard végpontján tipográfiai hibák voltak, üres oldalak kerültek vissza. Ezek a figyelmetlenségek arra utalnak, hogy a támadást amatőr fenyegető aktorok vagy szabadúszó munka hozta létre, nem pedig egy kifinomult, államhoz köthető kampány.
Chrome Web Store eljárásai lehetővé tették, hogy a bővítmény az automatizált felülvizsgálati mechanizmusok ellenére élő maradjon. A Socket hivatalos eltávolítási kérelmet nyújtott be, de a jelentés időpontjában a törlés még függőben volt. A felhasználókat javasolt auditálni a telepített kiegészítőket, vonják vissza aláírási jogosultságaikat, és ha érintették a kompromittált eszközt, pénzeiket új pénztárcákba migrálni.
Kriptakereskedelmi platformokat és pénztárca-szolgáltatókat sürgettek, hogy alkalmazzanak bővítmény-fehérlistázási kontrollokat, több aláírásos jóváhagyási munkafolyamatokat, és valós idejű tranzakció-dekódolást a hozzáfűzött utasítások felismerésére. Az iparági érdekelt felek fejlettebb heurisztikákat értékelnek az összetett tranzakciók jelzésére, amelyek eltérnek a tipikus swap-mintától.
Különösen az incidens rámutat a böngésző-kiterjesztések aláírási jogosultságainak megadásából eredő tágabb kockázatokra, mivel zárt forráskód rejthet rosszindulatú logikát. Közösség által vezetett auditok, nyílt forráskódú eszközök és decentralizált aláírási protokollok lettek javasolva a védelmi intézkedések részeként, hogy megvédjék a láncon áramló eszközöket.
Ahogy nő a DeFi aktivitás, a támadás hangsúlyozza a felhasználói felületi rétegen érvényes szigorú biztonsági szabványok szükségességét. Fejlesztőknek és letétemenytársaknak együtt kell működniük, hogy a kényelem funkcióit kiegyensúlyozzák a robusztus biztonsági ellenőrzésekkel, biztosítva, hogy a felhasználói jóváhagyások pontosan tükrözzék az egyedi on-chain utasításokat. Ezen intézkedések nélkül hasonló díj-elszívás vagy pénzátirányítási exploitok terjedhetnek platformokon.
A kutatók továbbra is figyelik a támadó pénztárcáját további tranzakciók után, és összefogva a hatóságokkal nyomkövetik a lopott eszközöket. A Solana közösség, a tőzsde-üzemeltetők és a kiberbiztonsági cégek együttműködnek, hogy megosszák a fenyegetés-tudást és megerősítsék a decentralizált kereskedési környezetekben a biztonságos böngésző interakciókra vonatkozó legjobb gyakorlatokat.
Hozzászólások (0)