Socket 的网络安全研究人员 裸露 恶意 Chrome 扩展 Crypto Copilot,它将隐藏的 Solana 转账费用注入 Chrome Web Store 上的 Raydium 交换交易中。 已发表 由用户 sjclark76 于 2024 年 5 月 7 日发布,该扩展已安装 12 次,并且仍然可供下载。该扩展将自己定位为直接在 X 上交易加密货币的工具,提供实时洞察和无缝执行。在这个门面的背后,Crypto Copilot 操纵在 Raydium 上执行的基于 Solana 的交易,Raydium 是一个基于 Solana 的去中心化交易所和自动化做市商。 索拉纳 区块链。当用户通过 Raydium 发起交换时,该扩展会激活混淆代码,在交易到达用户签名阶段之前向交易附加一条附加指令。该注入指令由一个 SystemProgram.transfer方法,它将资金从用户的钱包引导到攻击者控制的硬编码地址。转让金额至少为 0.0013 SOL 或贸易总额的 0.05%,以较大者为准。对于超过 2.6 SOL 的掉期,费用将升级至 2.6 SOL 加上掉期金额的 0.05%。 Socket 安全研究员 Kush Pandya 在周二发布的一份报告中详细介绍了该机制,并指出:“在界面背后,该扩展程序会在每次 Solana 交换中注入额外的转账,将至少 0.0013 SOL 或交易金额的 0.05% 转移到硬编码的攻击者控制的钱包中。”为了逃避检测,恶意代码采用缩小技术并重命名变量,使脚本难以分析。用户在交易过程中不会遇到这种更改的明显迹象。该扩展程序的用户界面仅显示标准交换详细信息,省略任何对隐藏费用的引用。因此,个人通常在不知道扣除的情况下批准交易,除非他们在签署之前手动审查每条指令。 Crypto Copilot 与 crypto-coplilot-dashboard.vercel.app 上的后端服务器集成,在其中注册连接的钱包、检索积分和推荐信息并记录用户活动。关联的域 cryptocopilot.app 不提供任何实际产品,其功能仅作为欺骗性基础设施。该扩展通过整合来自 DexScreener 的市场数据服务和 Helius RPC 的区块链交互服务,进一步增强了其合法性。被抽走资金的目的地是个人钱包,与任何协议金库不同,这使得用户验证变得复杂。 Pandya 强调了这一微妙之处,并指出:“由于这笔转账是悄悄添加并发送到个人钱包而不是协议金库,因此大多数用户永远不会注意到它,除非他们在签名前检查每条指令。”他补充说,整体设置优先考虑逃避平台审查,并观察到,“周围的基础设施似乎只是为了通过 Chrome Web Store 审查并提供合法性的外表,同时在后台收取费用。”
