Uma extensão do Chrome, comercializada como uma ferramenta de negociação prática, vem desviando secretamente Solana (SOL) das transações dos usuários desde junho passadoinjetando taxas ocultas em cada transação enquanto se disfarça de assistente legítimo de negociação de Solana.
A empresa de cibersegurança Socket descobriu a extensão maliciosa do Crypto Copilot durante o “monitoramento contínuo” da Chrome Web Store, conforme relatado pelo engenheiro e pesquisador de segurança Kush Pandya ao Decrypt.
Em uma análise da extensão maliciosa publicada na quarta-feira, Pandya escreveu que o Crypto Copilot adicionou silenciosamente uma instrução de transferência extra a cada transação de negociação de Solana, extraindo um mínimo de 0,0013 SOL ou 0,05% do valor da negociação para uma carteira controlada pelo atacante.
“Nosso scanner de IA sinalizou vários indicadores: ofuscação indireta de código, um endereço Solana embutido na lógica de transações e discrepâncias entre a funcionalidade declarada da extensão e o comportamento real da rede”, disse Pandya, acrescentando que “esses alertas desencadearam uma análise manual mais que confirmou o mecanismo oculto de concentração profunda de taxas”.
A pesquisa aponta riscos em ferramentas criptográficas baseadas no navegador, especificamente extensões que incluem integração com mídias sociais e recursos de assinatura de transações.
A extensão disponível na Chrome Web Store há meses, sem nenhum aviso aos usuários sobre as taxas não divulgadas, ocultas em um código altamente ofuscado, afirma o relatório.
“O comportamento das taxas nunca é divulgado na página de extensão da Chrome Web Store, e a lógica é que a implementação está oculta em um código altamente ofuscado”, observou Pandya.
Cada vez que um usuário troca tokens, a extensão gera a instrução de troca Raydium correta, mas discretamente adiciona uma transferência extra direcionando SOL para o endereço do atacante.
A Raydium é uma exchange descentralizada e formadora de mercado automatizada baseada na criptomoeda Solana, enquanto uma “troca Raydium” se refere simplesmente à troca de um token por outro através de seus pools de liquidez.
Os usuários que instalaram o Crypto Copilot, acreditando que ele simplificaria suas negociações com Solana, terão pagamento, sem saber, taxas ocultas a cada troca, taxas que nunca foram encontradas em materiais de marketing de extensão ou na listagem da Chrome Web Store.
A interface mostra apenas os detalhes da troca, e pop-ups da carteira resumem a transação, de forma que os usuários assinam o que parece ser uma única troca, mesmo que ambas as instruções sejam realizadas simultaneamente na blockchain.
A carteira do atacante recebeu apenas pequenas descrições até o momento, um sinal de que o Crypto Copilot ainda não atingiu muitos usuários, e não uma indicação de que a vulnerabilidade seja de baixo risco, conforme relatado.
O mecanismo de taxas é proporcional ao tamanho da transação. Para swaps abaixo de 2,6 SOL, aplica-se uma taxa mínima de 0,0013 SOL, e acima desse limite, entra em vigor uma taxa percentual de 0,05%. Isso significa que um swap de 100 SOL cobraria 0,05 SOL, aproximadamente US$ 10 aos preços atuais.
O domínio principal da extensão, cryptocopilot(.)app, está registrado no GoDaddy, enquanto o backend em crypto-copilot-dashboard(.)vercel(.)app (com erro ortográfico notável) exibe apenas uma página em branco, apesar da coleta de dados de carteiras, segundo o relatório.
O Socket enviou uma solicitação de remoção à equipe de segurança da Chrome Web Store do Google, embora a extensão permaneça disponível no momento da publicação.
A plataforma recomenda que os usuários revisem cada instrução antes de transferir transações, evitem extensões de negociação de código fechado que solicitem permissões de assinatura e migrem seus ativos para carteiras limpas caso tenham instalado o Crypto Copilot.
Padrões de malware
O malware continua sendo uma preocupação crescente para os usuários de criptomoedas. Em setembro, uma variante de malware chamada ModStealer foi descoberta mudando carteiras de criptomoedas em sistemas Windows, Linux e macOS por meio de anúncios falsos de recrutamento de empregos, conseguindo escapar da detecção dos principais antivírus por quase um mês.
O diretor de tecnologia da Ledger, Charles Guillemet, já havia alertado que invasores haviam comprometido uma conta de desenvolvedor do NPM, com código malicioso tentando trocar silenciosamente direcionado de carteiras de criptomoedas durante transações em múltiplos blockchains.
* Traduzido e editado com autorização do Decrypt.
Invista e ganhe até 20 mil pontos Livelo para usar como quiser! Na Invest Friday do MB você investe em ativos selecionados e acumula pontos. A cada R$ 2 investidos = 1 ponto Livelo. Saiba mais!
Fonteportaldobitcoin
