Podstępne rozszerzenie przeglądarki o nazwie 'Crypto Copilot' zostało wykryte jako wyłudzające opłaty transakcyjne z zamian Solana użytkowników przez miesiące, zanim zostało zidentyfikowane przez firmę zajmującą się cyberbezpieczeństwem Socket. Rozszerzenie, dostępne w Chrome Web Store od czerwca 2025 roku, podszywało się pod asystenta handlu dla użytkowników Raydium, ale wykonywało ukryte instrukcje transferu obok prawidłowych transakcji swap.
Po zainstalowaniu 'Crypto Copilot' wstrzyknął dodatkową instrukcję do każdego zestawu transakcji swap na DEX, przekierowując odpowiednio 0.0013 SOL lub 0.05% wartości transakcji swap na portfel kontrolowany przez atakującego. Wykorzystując atomowe wykonanie transakcji w Solanie, rozszerzenie obejmowało ostrzeżenia interfejsu portfela, co powodowało, że nieświadomi użytkownicy zatwierdzali jednocześnie zarówno zamierzone, jak i złośliwe transfery.
Analiza on-chain wykazała do tej pory niewielką liczbę ofiar, z minimalnymi łącznymi stratami. Jednak ten exploit rośnie liniowo wraz z wolumenem obrotu, co może wypłukiwać znaczne kwoty od traderów o dużym obrocie. Na przykład swap o wartości 100 SOL przekierowałby 0.05 SOL, co odpowiada około 10 USD przy obecnych kursach, na każdą transakcję.
Specjaliści ds. bezpieczeństwa zauważyli, że zaplecze infrastruktury rozszerzenia nie wykazuje dojrzałości operacyjnej. Główna domena cryptocopilot.app była zarejestrowana na ogólnej usłudze hostingowej, a punkt końcowy pulpitu zawierał błędy typograficzne, zwracając puste strony. Takie niedociągnięcia sugerują, że exploit powstał u amatorskich aktorów zagrożeń lub w ramach pracy freelancera, a nie w wyniku zaawansowanej kampanii powiązanej z państwem.
Procedury Chrome Web Store pozwalały, by rozszerzenie pozostało aktywne pomimo zautomatyzowanych mechanizmów przeglądu. Socket złożył formalny wniosek o usunięcie, ale w momencie zgłaszania informacji usunięcie było w toku. Użytkownicy powinni przeanalizować zainstalowane rozszerzenia, cofnąć uprawnienia do podpisywania i przenieść środki do nowych portfeli, jeśli korzystali z narzędzia objętego kompromitacją.
Platformy wymiany kryptowalut i dostawcy portfeli wezwano do wprowadzenia mechanizmów whitelistowania rozszerzeń, procesów zatwierdzania wielopodpisowego oraz dekodowania transakcji w czasie rzeczywistym, aby wykrywać dołączone instrukcje. Branża rozważa zastosowanie zaawansowanych heurystyk, które będą flagować złożone transakcje odbiegające od typowych wzorców swap.
Co istotne, incydent podkreśla szersze ryzyka związane z nadawaniem rozszerzeniom przeglądarki uprawnień do podpisywania, ponieważ kod zamknięty może ukrywać złośliwą logikę. Proponuje się audyty prowadzone przez społeczność, narzędzia open-source i zdecentralizowane protokoły podpisywania jako strategię łagodzenia ryzyka, aby chronić przepływy aktywów na łańcuchu.
W miarę jak rośnie aktywność DeFi, ten atak ukazuje potrzebę rygorystycznych standardów bezpieczeństwa na warstwie interfejsu użytkownika. Deweloperzy i podmioty zarządzające portfelami muszą współpracować, aby równoważyć funkcje wygody z solidnymi mechanizmami bezpieczeństwa, zapewniając, że zgody użytkowników odzwierciedlają wyraźnie odrębne instrukcje na łańcuchu. Bez takich środków podobne wyłudzanie opłat lub przekierowania środków może się rozprzestrzenić na różnych platformach.
Badacze nadal monitorują portfel atakującego pod kątem kolejnych transakcji i koordynują działania z organami ścigania w celu namierzenia skradzionych funduszy. Społeczność Solana, operatorzy giełd i firmy z branży cyberbezpieczeństwa współpracują, aby dzielić się informacjami o zagrożeniach i wzmacniać najlepsze praktyki bezpiecznych interakcji z przeglądarką w zdecentralizowanych środowiskach handlu.
Komentarze (0)