Эксперты Socket разоблачили вредоносное расширение Crypto Copilot в Chrome для кражи у трейдеров Solana

• Вредоносное расширение Crypto Copilot ворует Solana (SOL) у трейдеров через скрытые инструкции.
• Это выяснили исследователи Socket.
• Crypto Copilot маскируется под инструмент для X-трейдинга, но отправляет актив на кошелек злоумышленника.

Исследователи компании Socket обнаружили вредоносное расширение Chrome под названием Crypto Copilot, которое позиционирует себя как инструмент для «мгновенного трейдинга прямо из ленты X [бывшая Twitter]», но фактически незаметно добавляет к каждому свопу на блокчейне Solana скрытый перевод Solana (SOL) на кошелек злоумышленника.

Расширение было опубликовано 18 июня 2024 года и маскируется под удобный инструмент для торговли токенами через Raydium, подключаясь к Phantom, Solflare и другим стандартным Solana-кошелькам.

Socket сообщила, что Crypto Copilot создает стандартную транзакцию свопа на Raydium, а затем “тихо добавляет вторую инструкцию, которая передает SOL от пользователя к Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg73oxQff7».

Этот скрытый платеж не отображается в интерфейсе, а в кошельках он сливается с основной транзакцией, поскольку выполняется атомарно вместе со свопом. На странице расширения в Chrome Web Store нет никаких упоминаний о дополнительных комиссиях или удержаниях.

Платежный механизм вшит в код, который сильно запутан и минимизирован. Расширение взимает минимальную комиссию 0,0013 SOL или 0,05% от объема свопа — в зависимости от того, что больше. Таким образом:

• сделки до 2,6 SOL оплачивают минимальные 0,0013 SOL;
• сделки свыше 2,6 SOL – 0,05%.

Например, 100 свопов по 5 SOL генерируют 0,25 SOL, а своп в 100 SOL добавляет 0,05 SOL скрытой комиссии. Эти платежи редко заметны во время быстрой торговли, особенно если пользователь не открывает подробный список инструкций перед подтверждением транзакции.

Инфраструктура Crypto Copilot также содержит тревожные элементы. Расширение передает данные на бэкэнд, где регистрирует кошельки и активность пользователей, хотя на домене отсутствует реальный продукт. Основной сайт cryptocopilot[.]app — припаркован, что является типичным признаком одноразовой инфраструктуры, которую используют вредоносные расширения.

Как отметили исследователи, домен бэкэнда даже содержит опечатку — «crypto-coplilot» вместо «crypto-copilot», что тоже нетипично для легитимных продуктов.

Хотя расширение использует DexScreener API и Helius RPC, это лишь создает видимость настоящего торгового инструмента:

«Ни одна из этих услуг сама по себе не является вредной, но вместе они создают убедительную фасада вокруг основной проблемы: каждый обмен включает в себя нераскрытый перевод SOL на жестко запрограммированный личный кошелек».

Несмотря на то, что в сети видны пока лишь небольшие поступления на кошелек атакующего, исследователи объясняют, что это обусловлено низким охватом расширения. Однако механизм масштабируется прямо пропорционально объемам торгов — поэтому активные трейдеры могут терять существенные суммы.

Socket предупредила, что такие манипуляции могут появляться и в будущем в других расширениях для Solana и EVM:

• расширения, сочетающие интеграцию в соцсети и доступ к подписанию транзакций, являются высокорисковыми;
• наличие жестко прописанных адресов кошельков, обфускованного кода и скрытых инструкций SystemProgram.transfer являются типичными индикаторами манипуляций;
• проекты без полноценных сайтов и документации нередко являются мошенническими.

Рекомендации для пользователей от компании следующие:

• проверять каждую инструкцию перед подписанием;
• избегать закрытых источников торговых расширений;
• после установки Crypto Copilot — перенести активы в новый кошелек и отозвать разрешения.

Также компания представила индикаторы компрометации, а именно email, ID расширения Chrome: Solana-адрес злоумышленника и домен: crypto-coplilot-dashboard[.]vercel[.]app.

Напомним, что в 2023 году организация Fantom Foundation потеряла $550 000 из-за уязвимости нулевого дня в Google Chrome.

В 2024 году команда Jupiter обнаружила вредоносное расширение для браузера Google Chrome, которое помогало злоумышленникам воровать средства у пользователей Solana.