Підписуйтеся на наш телеграм канал!
Фахівці з кібербезпеки попередили, що шкідливе розширення для Chrome викрадає криптовалюту на блокчейні Solana
Експерти компанії Socket виявили шкідливе розширення для браузера Chrome під назвою Crypto Copilot, яке викрадає токени Solana (SOL) у користувачів. Воно маскується під інструмент для миттєвого трейдингу в соцмережі X (колишній Twitter), але фактично додає до кожної операції на блокчейні Solana приховану інструкцію, що переводить частину коштів на гаманець зловмисника.
Розширення було опубліковане 18 червня 2024 року і позиціювалося як зручний інструмент для торгівлі токенами через платформу Raydium із підключенням до гаманців Phantom, Solflare та інших популярних сервісів. Socket встановила, що Crypto Copilot створює стандартну транзакцію свопу, але «тихо» додає другу, яка відправляє SOL на адресу Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg73oxQff7. Прихований переказ не відображається в інтерфейсі та виглядає як частина звичайної операції.
Екперти пояснили: у коді розширення вбудовано механізм стягнення комісії — 0,0013 SOL або 0,05% від суми операції, залежно від того, що більше. Наприклад, своп обсягом 100 SOL додає 0,05 SOL прихованої комісії. Код програми обфускований (заплутаний — ред.) і мінімізований, що ускладнює його аналіз. Додаток також передає дані про гаманці та активність користувачів на сервер, пов’язаний із підозрілим доменом crypto-coplilot-dashboard[.]vercel[.]app, у якому навіть допущена друкарська помилка — ознака фішингової схеми.
Socket застерегла, що подібні маніпуляції можуть повторюватися в інших розширеннях для Solana та EVM. Ознаками небезпеки є закритий код, наявність жорстко прописаних адрес гаманців і прихованих інструкцій переказу коштів. Експерти радять перевіряти кожну транзакцію перед підтвердженням, уникати розширень із невідомих джерел і після встановлення Crypto Copilot перенести активи в новий гаманець, відкликавши всі дозволи.
Компанія також опублікувала індикатори компрометації, серед яких email, ID розширення Chrome, Solana-адреса зловмисника та зазначений домен. Це вже не перший випадок подібних атак: у 2023 році Fantom Foundation втратила $550 000 через вразливість у Chrome, а в 2024 році команда Jupiter повідомила про аналогічне шкідливе розширення, яке також використовували для крадіжок коштів користувачів Solana.