„Chrome Solana“ plėtinys „Crypto Copilot“ slapta nukreipia vartotojų lėšas į apsikeitimo sandorius, pabrėždamas naršyklės kriptovaliutų saugumo riziką.
Santrauka
- „Crypto Copilot Chrome“ plėtinys įterpia paslėptas perkėlimo instrukcijas „Solana“ apsikeitimo sandoriuose.
- Kibernetinio saugumo įmonė „Socket“ atskleidė slaptų fondų nukreipimą į užpuoliko piniginę, naudodama paslėptas komandas.
- Incidentas išryškina naršyklėje veikiančių kriptovaliutų įrankio pažeidžiamumą ir vartotojo operacijų patikrinimo poreikį.
Remiantis kibernetinio saugumo įmonės „Socket“ grėsmių tyrimo komandos ataskaita, „Chrome“ naršyklės plėtinys, sukurtas prekybai Solana kriptovaliutomis, slapta nukreipia lėšas iš vartotojų, įtraukdamas paslėptas pervedimo instrukcijas į apsikeitimo sandorius.
Plėtinys, pavadintas „Crypto Copilot“, leidžia vartotojams prekiauti SOL (SOL) žetonais tiesiai iš X, anksčiau žinomo kaip „Twitter“, kartu slapta nukreipiant kiekvienos operacijos dalį į užpuoliko valdomą piniginę, pranešė „Socket“. Kiekvienas apsikeitimas, atliktas naudojant plėtinį, apima paslėptą komandą, perduodančią 0,05 procento operacijos vertės arba mažiausiai 0,0013 SOL į užkoduotą piniginės adresą.
Remiantis ataskaita, 2024 m. viduryje „Chrome“ internetinėje parduotuvėje paskelbtas „Crypto Copilot“ parduoda save kaip momentinės „Solana“ prekybos įrankį. Vartotojai mato tik pirminę apsikeitimo operaciją patvirtinimo ekranuose, kuriuose apibendrinama operacija, neatskleidžiant papildomos pervedimo instrukcijos, nurodė Socket.
Anot kibernetinio saugumo įmonės, plėtinyje naudojami užmaskavimo metodai, įskaitant kodo sumažinimą ir kintamųjų pervardijimą, siekiant nuslėpti kenkėjišką elgesį. Programinė įranga susisiekia su užpakaliniu serveriu, esančiu adresu crypto-coplilot-dashboard.vercel.app, kur ji registruoja prijungtas pinigines, seka vartotojų veiklą ir praneša persiuntimo duomenis, rašoma pranešime.
Antrasis domenas, susietas su plėtiniu, cryptocopilot.app, lieka paliktas ir neveikia. Socket pažymėjo, kad veikiančio prietaisų skydelio nebuvimas yra nesuderinamas su teisėtomis prekybos platformomis.
„Crypto Copilot“ naudoja „Raydium“, automatizuotą Solana blokų grandinės rinkos formuotoją, kad įvykdytų apsikeitimo sandorius. Ataskaitoje teigiama, kad plėtinys prideda paslėptą SystemProgram.transfer instrukciją prie kiekvieno sandorio, užbaigdamas atominius grandinės pervedimus, kurie nukreipia lėšas, o naudotojai patvirtina tai, kas atrodo kaip viena operacija.
Solana naršyklės plėtinį Crypto Copilot ištyrė Socket
Nors įrengimų skaičius išlieka mažas, Socket perspėjo, kad sukaupti nuostoliai dažnai prekiautojams kelia didelę riziką. Laipsniškas lėšų nukreipimas gali kauptis nepastebimai, o tai iliustruoja platesnes saugumo grėsmes, kurias kelia naršyklės kriptovaliutos įrankiai, teigė įmonė.
Remiantis pramonės ataskaitomis, ankstesni incidentai buvo susiję su kenkėjiškais „Chrome“ ir „Firefox“ plėtiniais, nukreiptais į kriptovaliutų pinigines, įskaitant „MetaMask“, „Phantom“ ir „Coinbase“.
Šis incidentas išryškina naršyklės pagrindu veikiančių kriptovaliutų saugumo spragas ir operacijų patikrinimo prieš patvirtinimą svarbą, teigė Socket. Kadangi naršyklėje pagrįsti įrankiai vis labiau integruoja kriptovaliutų prekybos funkcijas, gali prireikti sustiprinti „Chrome“ plėtinių ekosistemos stebėjimą ir priežiūrą, kad būtų apsaugoti decentralizuotų finansų naudotojai, teigiama ataskaitoje.
Anot „Socket“, „Solana“ prekybininkams patariama patikrinti plėtinio teisėtumą, išsamiai peržiūrėti operacijų instrukcijas ir stebėti kibernetinio saugumo tyrinėtojų naujinius.
