I trader di Solana presi di mira da estensioni del browser occulte che sottraggono le commissioni di swap

Un'estensione per browser furtiva chiamata 'Crypto Copilot' è stata scoperta che sottraeva le commissioni di transazione dalle swap su Solana degli utenti per mesi prima di essere identificata dalla società di sicurezza informatica Socket. L'estensione, disponibile nel Chrome Web Store da giugno 2025, si proponeva come assistente di trading per gli utenti Raydium ma eseguiva istruzioni di trasferimento nascoste insieme alle transazioni di swap legittime. Al momento dell'installazione, 'Crypto Copilot' inseriva un'istruzione aggiuntiva in ogni pacchetto di swap DEX, deviando 0,0013 SOL o lo 0,05% dell'importo dello swap verso un portafoglio controllato dall'attaccante. Sfruttando l'esecuzione atomica delle transazioni in Solana, l'estensione eludeva gli avvisi dell'interfaccia del portafoglio, causando agli utenti ignari di autorizzare simultaneamente sia i trasferimenti previsti sia quelli dannosi. Un'analisi on-chain ha rivelato finora un numero esiguo di vittime, con una perdita cumulativa minima. Tuttavia, l'exploit cresce in modo lineare rispetto al volume di scambio, potenzialmente sottraendo somme significative dai trader ad alto volume. Ad esempio, uno swap di 100 SOL reindirizzerebbe 0,05 SOL, equivalente a circa 10 dollari statunitensi per transazione. Gli esperti di sicurezza hanno rilevato che l'infrastruttura backend dell'estensione mancava di maturità operativa. Il dominio principale, cryptocopilot.app, era parcheggiato su un servizio di hosting generico, mentre l'endpoint della dashboard presentava errori di battitura, restituendo pagine bianche. Tali disattenzioni suggeriscono che l'exploit sia originato da attori di minaccia amatoriali o da uno sforzo freelance di origine statale. Le procedure del Chrome Web Store hanno permesso all'estensione di rimanere attiva nonostante i meccanismi di revisione automatici. Socket ha presentato una richiesta formale di rimozione, ma al momento della segnalazione la rimozione era in sospeso. Si consiglia agli utenti di verificare le estensioni installate, revocare i privilegi di firma e migrare i fondi verso nuovi portafogli se hanno utilizzato lo strumento compromesso. Le piattaforme di scambio di criptovalute e i fornitori di portafogli sono stati esortati a implementare controlli di whitelisting delle estensioni, flussi di approvazione multi-firma e decodifica delle transazioni in tempo reale per rilevare istruzioni aggiunte. Gli attori del settore stanno valutando euristiche migliorate per segnalare transazioni composite che si discostano dai modelli tipici di swap. È significativo che l'incidente sottolinei rischi più ampi insiti nel concedere privilegi di firma alle estensioni del browser, poiché il codice closed-source può celare logiche dannose. Audit guidati dalla comunità, strumenti open-source e protocolli di firma decentralizzati sono stati proposti come strategie di mitigazione per proteggere i flussi di asset on-chain. Con la crescita dell'attività DeFi, l'attacco mette in evidenza la necessità di standard di sicurezza rigorosi a livello di interfaccia utente. Sviluppatori e custodi devono collaborare per bilanciare le funzionalità di comodità con controlli di sicurezza robusti, assicurando che le approvazioni degli utenti riflettano accuratamente istruzioni discrete on-chain. Senza tali misure, furti di commissioni o reindirizzamenti di fondi simili potrebbero proliferare sulle piattaforme. I ricercatori continuano a monitorare il portafoglio dell'attaccante per ulteriori transazioni e a coordinarsi con le autorità di repressione per tracciare i fondi rubati. La comunità Solana, gli operatori di scambio e le aziende di cybersicurezza stanno collaborando per condividere informazioni sulle minacce e rafforzare le migliori pratiche per interazioni sicure del browser in ambienti di trading decentralizzato.