Turinys:
ToggleTrumpai tariant
- „Chrome“ plėtinys „Crypto Copilot“ slapta prideda paslėptą SOL perkėlimą prie kiekvieno „Raydium“ apsikeitimo, perkeldamas mokesčius į užpuoliko piniginę.
- Saugos platforma „Socket“ nustatė, kad plėtinys naudoja užmaskuotą kodą ir klaidingai parašytą, neaktyvų pagrindinį domeną, kad užmaskuotų savo veiklą.
- Vagystės grandinėje kol kas tebėra nedidelės, tačiau mechanizmas keičiasi atsižvelgiant į prekybos dydį, o plėtinys vis dar veikia „Chrome“ internetinėje parduotuvėje.
„Chrome“ plėtinys, parduodamas kaip patogus prekybos įrankis, nuo praėjusių metų birželio slapta siurbia SOL iš vartotojų apsikeitimo sandorių, įtraukdamas paslėptus mokesčius į kiekvieną operaciją ir apsimetęs teisėtu Solana prekybos asistentu.
Kibernetinio saugumo įmonė „Socket“ aptiko kenkėjiškos programos plėtinį „Crypto Copilot“, vykdydama „nuolatinį „Chrome“ internetinės parduotuvės stebėjimą, sakė saugos inžinierius ir tyrėjas Kushas Pandya. Iššifruoti.
🚨 „Socket“ tyrėjai atskleidė kenkėjišką „Chrome“ plėtinį, įterpiantį paslėptą #SOL perveda į Raydium apsikeitimo sandorius, tyliai pervesdami mokesčius į užpuoliko piniginę.
Visa analizė → https://t.co/bdGOXViJpA #Solana
— Socket (@SocketSecurity) 2025 m. lapkričio 25 d
Trečiadienį paskelbtoje kenkėjiško plėtinio analizėje Pandya rašė, kad „Crypto Copilot“ tyliai prideda papildomą perdavimo instrukciją prie kiekvieno Solana apsikeitimo sandorį, išgaunant mažiausiai 0,0013 SOL arba 0,05% sandorio, gaunama užpuoliko valdoma piniginė.
„Mūsų dirbtinio intelekto skaitytuvas pažymėjo kelis rodiklius: agresyvų kodo užmaskavimą, operacijų logikoje įterptą kieto kodo Solana adresą ir neatitikimus tarp nurodyto plėtinio funkcionalumo ir tikrojo tinklo elgesio“, – sakė Pandya. Iššifruotipridurdamas, kad „šie įspėjimai paskatino gilesnę rankinę analizę, kuri patvirtino paslėptą mokesčių ištraukimo mechanizmą“.
Tyrimas atkreipia dėmesį į naršyklės pagrindu veikiančių kriptovaliutų įrankių, ypač plėtinių, kurie derina socialinės žiniasklaidos integravimą su sandorių pasirašymo galimybėmis, riziką.
Ataskaitoje teigiama, kad plėtinys buvo pasiekiamas „Chrome“ internetinėje parduotuvėje kelis mėnesius, o naudotojai nebuvo įspėti apie neatskleidžiamus mokesčius, paslėptus labai užtemdytame kode.
„Mokesčių elgesys niekada neatskleidžiamas „Chrome“ internetinės parduotuvės sąraše, o jį įgyvendinanti logika slypi labai užtemdytame kode“, – pažymėjo Pandya.
Kiekvieną kartą, kai vartotojas apsikeičia žetonais, plėtinys sugeneruoja tinkamą Raydium apsikeitimo instrukciją, bet diskretiškai imasi papildomo perdavimo, nukreipiančio SOL į užpuoliko adresą.
„Raydium“ yra Solana pagrįsta decentralizuota mainų ir automatizuota rinkos formuotoja, o „Raydium apsikeitimas“ tiesiog reiškia vieno žetono keitimą į kitą per savo likvidumo fondus.
Naudotojai, kurie įdiegė Crypto Copilot, manydami, kad tai supaprastins jų prekybą Solana, nesąmoningai mokėjo paslėptus mokesčius už kiekvieną apsikeitimą – mokesčius, kurie niekada nebuvo rodomi plėtinio rinkodaros medžiagoje ar „Chrome“ internetinės parduotuvės sąraše.
Sąsaja rodo tik apsikeitimo informaciją, o iššokančiuosiuose piniginės languose apibendrina operacija, todėl vartotojai pasirašo tai, kas atrodo kaip vienas apsikeitimas, net jei abi instrukcijos vykdomos vienu metu grandinėje.
Iki šiol užpuoliko piniginė gavo tik nedideles sumas – tai ženklas, kad Crypto Copilot dar nepasiekė daug vartotojų, o ne ženklas, kad išnaudojimas yra mažos rizikos, kaip teigiama ataskaitoje.
Mokesčių mechanizmas priklauso nuo sandorio dydžio, nes apsikeitimo sandoriams iki 2,6 SOL taikomas minimalus 0,0013 SOL mokestis, o viršijus šią ribą pradedamas taikyti 0,05 % procentinis mokestis, o tai reiškia, kad 100 SOL apsikeitimo sandoris gautų 0,05 SOL, maždaug 10 USD dabartinėmis kainomis.
Plėtinio pagrindinio domeno cryptocopilot(.)programa yra saugoma domenų registro „GoDaddy“, o programėlės crypto-coplilot-dashboard(.)vercel(.) užpakalinė dalis, ypač neteisingai parašyta, rodo tik tuščią rezervuotos vietos puslapį, nors renkami piniginės duomenys, rašoma ataskaitoje.
„Socket“ pateikė panaikinimo užklausą „Google Chrome“ internetinės parduotuvės saugos komandai, nors plėtinys buvo prieinamas paskelbimo metu.
Platforma paragino vartotojus peržiūrėti kiekvieną instrukciją prieš pasirašant sandorius, vengti uždarojo kodo prekybos plėtinių, reikalaujančių pasirašymo leidimo, ir perkelti išteklius į švarias pinigines, jei įdiegė „Crypto Copilot“.
Kenkėjiškų programų modeliai
Kenkėjiškos programos vis dar kelia vis didesnį susirūpinimą kriptovaliutų vartotojams. Rugsėjo mėn. buvo rasta kenkėjiškų programų atmaina, vadinama ModStealer, nukreipta į kriptovaliutų pinigines sistemoje „Windows“, „Linux“ ir „MacOS“, naudojant netikrus įdarbintojų skelbimus, ir beveik mėnesį išvengta pagrindinių antivirusinių variklių aptikimo.
„Ledger“ CTO Charlesas Guillemetas anksčiau perspėjo, kad užpuolikai pažeidė NPM kūrėjo paskyrą, o kenkėjiškas kodas bandė tyliai apsikeisti kriptovaliutų piniginės adresais atliekant operacijas keliose blokų grandinėse.
Dienos apžvalga Naujienlaiškis
Pradėkite kiekvieną dieną nuo populiariausių naujienų dabar ir originalių funkcijų, tinklalaidės, vaizdo įrašų ir kt.
