Skrita razširitev brskalnika z oznako 'Crypto Copilot' je bila odkrita, ker črpa transakcijske pristojbine iz uporabniških Solana zamenjav več mesecev, preden jo je identificiralo podjetje za kibernetsko varnost Socket.
Razširitev, ki je na Chrome Web Storeu na voljo od junija 2025, se je predstavljala kot pomočnik za trgovanje za uporabnike Raydium, vendar je ob legitimnih zamenjavah izvajala skrite ukaze za prenos sredstev na denarnico, ki jo nadzira napadalec.
Ob namestitvi je 'Crypto Copilot' v vsak paket DEX zamenjave vložil dodatno navodilo, ki je preusmerilo bodisi 0.0013 SOL ali 0.05% zneska zamenjave na denarnico, ki jo nadzira napadalec.
S izkoriščanjem atomskih transakcij v Solani je razširitev obšla opozorila v uporabniškem vmesniku denarnice, zaradi česar so nepazljivi uporabniki hkrati potrdili tako namerne kot zlonamerne prenose.
Analiza v verigi blokov je doslej odkrila le malo žrtev, z minimalno skupno izgubo. Vendar pa izkoriščanje raste linearno s količino trgovanja, kar lahko odtuji znatne zneske od trgovcev z visokim obsegom trgovanja. Na primer, zamenjava 100 SOL bi preusmerila 0.05 SOL na denarnico, ki jo nadzira napadalec, kar je okoli 10 dolarjev po trenutnih menjalnih tečajih za vsako transakcijo.
Strokovnjaki za varnost so opozorili, da zaledna infrastruktura razširitve nima operativne zrelosti. Glavna domena cryptocopilot.app je bila parkirana na generičnem gostovanju, medtem ko je končna točka nadzorne plošče vsebovala tipkarske napake in je vračala prazne strani. Take napake nakazujejo, da izkoriščanje izhaja od amaterskih napadalcev ali freelance dejavnosti, ne pa od sofisticirane kampanje, usmerjene s strani države.
Postopki Chrome Web Store so dopuščali, da razširitev ostane aktivna kljub avtomatiziranim mehanizmom pregleda. Socket je vložil formalni zahtevek za odstranitev, vendar je odstranjevanje v času poročanja še v teku. Uporabnikom svetujejo, naj pregledajo nameščene razširitve, prekličejo pravice podpisovanja in preusmerijo sredstva na nove denarnice, če so uporabljali kompromitirano orodje.
Kratija za razširitve v kripto izmenjevalnih platformah in ponudnikih denarnic so pozvani, naj uvedejo kontrole bele liste razširitev, postopke odobritve z več podpisniki ter dekodiranje transakcij v realnem času, da bi odkrivali dodana navodila. Industrijski deležniki preučujejo izboljšane heuristične metode za prepoznavanje združenih transakcij, ki odstopajo od običajnih vzorcev zamenjav.
Pomembno je, da incident poudarja širše tveganje, ki je inherentno pri dodeljevanju pravic za podpisovanje razširitev brskalnika, saj zaprta programska koda lahko skriva zlonamerne logike. Dodatni predlogi so skupnostne revizije, odprtokodna orodja in decentralizirani protokoli podpisovanja kot strategije za zaščito pretokov sredstev na verigi.
Ko se DeFi dejavnost povečuje, napad poudarja nujnost strogih varnostnih standardov na plasti uporabniškega vmesnika. Razvijalci in skrbniki morajo sodelovati, da uravnotežijo udobne funkcije z močnimi varnostnimi pregledi in zagotovijo, da potrdila uporabnikov natančno odražajo ločena navodila na verigi. Brez takšnih ukrepov bi se podobni poskusi črpanja pristojbin ali preusmeritve sredstev lahko razširili po platformah.
Raziskovalci še naprej spremljajo denarnico napadalca za nadaljnje transakcije in sodelujejo z organi pregona pri sledenju ukradenih sredstev. Skupnost Solana, operaterji borz in podjetja za kibernetsko varnost sodelujejo pri izmenjavi obveščenosti o grožnjah ter okrepitvi najboljših praks za varno brskalniško interakcijo v decentraliziranih trgovalnih okoljih.
Komentarji (0)