Изследователи от фирмата за киберсигурност Socket разкриха, че популярното Chrome разширение Crypto Copilot тайно добавя допълнителни такси към всяка транзакция, извършвана през него. Макар че се рекламира като удобен инструмент за търговия директно в платформата X (Twitter), разширението всъщност прехвърля малки суми към портфейл, контролиран от нападател.
Как работи измамата
Разширението промотира безшевна интеграция с интерфейса на X, обещавайки бърза покупка и продажба на крипто активи без нужда от допълнителни приложения.
Но анализът на Socket показва, че кодът съдържа скрита логика за добавяне на допълнителни такси, които не са описани никъде в публичното упътване.
Манипулация на транзакциите в Raydium
-
При всяка операция се добавя допълнителна такса от 0.0013 SOL или 0.05% за транзакции над 2.6 SOL.
-
Таксата е незабележима за повечето потребители, тъй като размерът изглежда пренебрежим.
-
Добавеният трансфер се вмъква в същата транзакция и обикновено остава скрит, освен ако потребителят не разгледа пълните инструкции в портфейла си.
Socket посочват, че това се постига чрез обфускиран код и манипулиране на механизмите за размяна в Raydium, което позволява тихо прехвърляне на средства към портфейла на атакуващия.
Година незабелязана злонамерена активност
Въпреки че разширението няма голям брой инсталации, неговото поведение е останало неоткрито повече от година.
И до момента на публикуване Crypto Copilot все още е достъпно в Chrome Web Store, въпреки изпратеното искане за премахване.
Socket предупреждават, че това може да е само върхът на айсберга – други разширения за Solana и EVM екосистемите вероятно използват подобни подходи.
Минимална печалба, максимален риск
По данни от блокчейна, нападателят е спечелил едва $6.86 – факт, който не омаловажава опасността.
Ниската печалба се дължи единствено на ограниченото разпространение, а не на липса на зловредност.
Socket подчертават, че разширението:
-
изпраща данни към неработещи бекенд системи, което подсказва недовършен продукт;
-
използва външни услуги само за да имитира легитимно поведение;
-
комбинира достъп до социални мрежи и подписване на транзакции – високорискова комбинация.
Технически механизъм на измамата
Разследването описва конкретния процес:
-
разширението използва твърдо зададени параметри за изчисляване на скритата такса;
-
добавя втори трансфер към транзакцията точно преди потребителят да я подпише;
-
UI-то показва само предварителен преглед, без допълнителните инструкции в детайли.
Това позволява на атакуващия да наблюдава активността в портфейла, използваните адреси и модела на търговия, създавайки потенциал за бъдещи атаки.
Как да се предпазят потребителите
Експертите препоръчват:
-
да не се използват затворен код търговски разширения, които искат права за подписване на транзакции;
-
да се инсталират крипто разширения само от проверени официални страници на издателите;
-
да се преглежда всяка инструкция в транзакцията, особено в Solana мрежата;
-
активите от компрометирани портфейли да се прехвърлят към нови, чисти портфейли;
-
да се откаже достъп на всички подозрителни сайтове и разширения.
