Un'estinzjoni di navigaturi furtiva chiamata ‘Crypto Copilot’ fu scuperta ca siphonavìa li tariffi di trasazzioni di li scambi Solana di li utenti pi misi prima ca fu identificata di la socità di cybersicurezza Socket.
L’estinzioni, disponibile ntô Chrome Web Store dâ giugnu 2025, si pruponìa comu assistenti di scambio pi li utenti Raydium, ma eseguiu istruzioni di trasferimentu nascosti nzemi a li transazzioni di scambiu legittimi.
Quannu s’installau, ‘Crypto Copilot’ iniettau na istruzioni aghjunta nta ogni pacchettu di scambiu DEX, desviannu 0.0013 SOL o 0.05% dû valuri dû scambiu a nu portafogghiu cuntrullatu di l’attaccanti.
Usannu l’esecuzioni atomichi di li transazzioni nta Solana, l’estensione passò qualsiasi avisu di l’interfaccia dû portafogghiu, facennu ca li utenti senza sapiri approvaru sia li trasferimenti intenzjonati sia chiddi maliziosi ntô stissu mumentu.
Un'analisi on-chain ha scuperto nu picca di vittimi finu a ora, cu na perdita cummulativa minima. Però, l’exploit si scala linearmenti cu lu volumi di scambi, putennu siphonari granni somme di li trader cu volumi à uti. P’asempiu, na scambiata di 100 SOL avissi diri 0.05 SOL, ca è circa $10 seconnu i tassi di scambio attuali, pi ogni transazzioni.
Li spiriti di sigurezza nsignaronu ca l’infrastruttura dû backend dû estensione mancava maturità operativa. U duminiu principali, cryptocopilot.app, era parcheggiatu supra nu serviziu di hosting genericu, mentri l’endpoint dû dashboard cci cuntenia errore tipografichi, turnannu pagini vacanti. Stui nsgazi sughi ca l’exploit veni di attori di minaccia amatoriali o di nu travagghiu freelance, inveci di na campagna sofisticata allineata a li stati.
Li prucedimenti dû Chrome Web Store permittiru all’estensione di ristari attiva macari mentri li meccanismi di rivisti automatici. Socket hà firmatu na dumanna formali di rimozioni, ma allura di li riportu era in attesa. L’utenti sò cunsigliati di fari l’audit di l’estensioni installati, revocare li privilegi di firma, e migrare li fondi versu novi portafogghii siddu avìanu usatu lu strumentu compromisu.
Li piattaformi di scambiu di crypto e i furnituri di portafogli si invitaru a implumentari cunti di whitelisting pi estensioni, flussi di approvazioni multi-firma, e decodifica di transazzioni ntô tempu rialpiu pi rilevare istruzioni aghjunci. Li parti interessati di l’industri stà nnu pricisi a vigghiari heuristichi megghiu pi marcari transazzioni cumposti ca si discunninu di li schemi tipichi di scambiu.
Comu notabilmenti, l'incidentu sottolinea li rischi cchiù grossi ca stannu inherent in concediri privilegi di firma a estensioni di navigaturi, siccomu u codice chiusu po jittari logichi maliziosi. Auditi guidati di la cumunità , strumenti open-source e protocolli di firma decentralizzati foru pruposti comu strategie di mitigazioni pi protèggiri i flussi di asset on-chain.
Comu l’attività DeFi crìscìa, l’attaccu mùostrà la nicissità di standard di sigurezza rigurusi a lu stratu di l’interfaccia utenti. Li sviluppatori e li custodi hannu a cullabburari pi bilanciari li funzioni di cunvenienza cu verificazioni di sigurezza robusta, accertannu ca l’approvazzioni di l’utenti riflettunu accuratamente istruzioni on-chain distinte. Senz a tali misuri, simili sfruttamenti di sifunu di tariffi o di ridiretturi di fondi ponnu proliferari tra li piattaformi.
Li ricercatori cuntinuan a monitorari lu portafogghiu dû attaccanti pi autri transazzioni e a cullaborari cu l’agenzi di l’ordine pi tracciare li fondi rubbati. La cumunità Solana, i operatori di scambiu e i firmi di cybersicurezza stannu travagghiannu nzemi pi sparteri inteligenza di minaccia e rinfurzari li megghiu pratiche pi interazzioni di navigaturi sicuri nti ambienti di scambiu decentralizzati.
Cummenti (0)