Nevidljiva ekstenzija za pregledač nazvana ‘Crypto Copilot’ otkrivena je kako izvlači transakcione provizije iz korisničkih Solana swap-ova mesecima pre nego što ju je identifikovala kompanija za sajber bezbednost Socket.
Ekstenzija, dostupna u Chrome Web Store-u od juna 2025, predstavljala se kao trgovački asistent za korisnike Raydium-a, ali je uz legitimne swap transakcije izvršavala skrivene instrukcije za transfer.
Pri instalaciji, 'Crypto Copilot' je ubacio dodatnu instrukciju u svaki DEX swap paket, preusmeravajući ili 0.0013 SOL-a ili 0.05% iznosa swap-a na novčanik koji kontroliše napadač. Korišćenjem atomske transakcije u Solani, ekstenzija je zaobišla upozorenja interfejsa novčanika, navodeći neupućene korisnike da odobre i namerne i zlonamerne transfere istovremeno.
Analiza na lancu otkrila je mali broj žrtava do sada, uz minimalan kumulativni gubitak. Međutim, iskorišćavanje se linearno povećava sa obimom trgovanja, potencijalno izvlačeći značajne iznose od trgovaca visokog obima. Na primer, swap od 100 SOL-a bi preusmerio 0.05 SOL-a, što je otprilike 10 USD po trenutnim kursevima, po transakciji.
Bezbednosni stručnjaci su primetili da backend infrastruktura ekstenzije nema operativnu zrelost. Primarna domena cryptocopilot.app bila je parkirana na generičkom hosting servisu, dok je krajnja tačka kontrolnog panela sadržala tipografske greške i vraćala prazne stranice. Takva zapažanja sugerišu da je eksploatacija potekla od amaterskih pretnjskih aktera ili od freelance napora, a ne od sofisticirane kampanje koja bi bila povezana sa državom.
Procedura Chrome Web Store-a omogućila je da ekstenzija ostane aktivna uprkos automatizovanim mehanizmima revizije. Socket je podneo formalni zahtev za uklanjanje, ali u trenutku izveštavanja, uklanjanje je bilo u proceduri. Korisnici se savetuju da revidiraju instalirane ekstenzije, opozovu privilegije potpisivanja i presele sredstva na nove novčanike ako su koristili kompromitovani alat.
Platforme za razmenu kriptovaluta i provajderi novčanika pozvani su da implementiraju kontrole belog lista ekstenzija, tokove višestrukog potpisivanja i dekodiranje transakcija u realnom vremenu kako bi otkrili dodate instrukcije. Industrijski akteri procenjuju unapređene heuristike za označavanje složenih transakcija koje odstupaju od tipičnih swap obrazaca.
Značajno, ovaj incident naglašava šire rizike povezane sa dodeljivanjem privilegija potpisivanja ekstenzija pregledača, jer zatvoren kod može skrivati zlonamernu logiku. Zajedničke revizije, alati otvorenog koda i decentralizovani protokoli potpisivanja predloženi su kao strategije ublažavanja kako bi zaštitili protoke sredstava na lancu.
Kako DeFi aktivnost raste, ovaj napad naglašava potrebu za rigoroznim sigurnosnim standardima na sloju korisničkog interfejsa. Razvijači i čuvari sredstava moraju sarađivati kako bi uravnotežili pogodnosti interfejsa sa robusnim bezbednosnim proverama, osiguravajući da korisnički odobreni zahtevi tačno odražavaju zasebne on-chain instrukcije. Bez takvih mera, slični napadi izvlačenja ili preusmeravanja sredstava mogu se širiti na platformama.
Istraživači nastavljaju da prate napadački novčanik radi daljih transakcija i da koordinišu sa organima reda kako bi pratili ukradena sredstva. Solana zajednica, operateri berzi i firme za sajber bezbednost sarađuju na razmeni informacija o pretnjama i jačanju najboljih praksi za sigurne interakcije u pregledačima u decentralizovanim trgovačkim okruženjima.
Коментари (0)