Зловредное расширение для Chrome скрытно взимает комиссии с пользователей Solana

Расширение, опубликованное в Chrome Web Store 18 июня 2024 года, позиционировалось как инструмент для мгновенного совершения сделок непосредственно из ленты социальной сети X (бывший Twitter). Однако за удобным интерфейсом скрывался механизм несанкционированного списания средств. При каждой операции обмена расширение добавляло дополнительную инструкцию перевода, направляя минимум 0,0013 SOL или 0,05% от суммы сделки на заранее указанный кошелек злоумышленника.

Особенность атаки заключается в том, что пользователь видит в интерфейсе только детали основного обмена, а дополнительные транзакции остаются скрытыми. Кошельки обычно отображают обобщенную информацию о транзакции без детализации отдельных инструкций. В результате пользователи подписывают то, что кажется единой операцией обмена, тогда как в действительности исполняются две атомарные транзакции.

Механизм скрытых комиссий реализован на уровне построения транзакций. После формирования стандартных инструкций для Raydium расширение вычисляет размер комиссии по жестко заданным параметрам, создает инструкцию SystemProgram.transfer и добавляет ее в транзакцию перед запросом подписи пользователя. Код расширения подвергся агрессивной минификации и переименованию переменных, что затрудняет обнаружение вредоносной функциональности.

Инфраструктура расширения вызывает дополнительные подозрения. Crypto Copilot взаимодействует с бэкендом на домене crypto-coplilot-dashboard[.]vercel[.]app, который используется для регистрации подключенных кошельков, отслеживания пользовательской активности и сбора данных. При этом основной домен cryptocopilot[.]app оказался заброшенным, а бэкенд-домен содержит орфографическую ошибку в названии, что нехарактерно для легитимных проектов.

Экономическое воздействие атаки напрямую зависит от объема и частоты совершаемых сделок. Для операций менее 2,6 SOL взимается фиксированная комиссия 0,0013 SOL, тогда как для крупных сделок применяется процентная ставка 0,05%. Например, при сотне операций объемом 5 SOL каждая пользователь может потерять 0,25 SOL, что при текущем курсе составляет значительную сумму.

Анализ транзакций в блокчейне показывает, что пока злоумышленник получил относительно небольшие суммы, что, скорее всего, связано с ограниченным распространением расширения. Однако сам механизм масштабируется с ростом объема торгов и представляет серьезную угрозу для активных трейдеров.

Эксперты по безопасности рекомендуют пользователям тщательно проверять все инструкции в транзакции перед подписанием, особенно в экосистеме Solana. Следует обращать внимание на неожиданные инструкции SystemProgram.transfer в процессах обмена и избегать закрытых торговых расширений, запрашивающих разрешения на подписание транзакций.

Для профессиональных security-команд важными индикаторами компрометации являются расширения, содержащие жестко заданные адреса кошельков, добавляющие дополнительные инструкции в транзакции обмена, использующие обфусцированные бандлы и взаимодействующие с внешними бэкендами в процессах подписания.

На момент публикации материала расширение остается доступным в Chrome Web Store. Исследователи уже направили запрос на удаление в группу безопасности Google. Данный инцидент демонстрирует растущую сложность атак в пространстве Web3 и важность тщательной проверки расширений браузера, имеющих доступ к криптовалютным операциям.

Domains

• cryptocopilot.app
• crypto-coplilot-dashboard.vercel.app

Threat Actor’s Email Address

• sjclark76@gmail.com

Chrome Extension

• Name: Crypto Copilot
• Extension ID: iaemdpdnmdkaphnmcogmcgcmhhafcifd

Attacker Wallet

• Solana Address: Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg73oxQff7