Ricercatori di sicurezza informatica presso Socket scoperto l’estensione dannosa di Chrome Crypto Copilot, che inserisce commissioni di trasferimento Solana nascoste nelle transazioni di swap Raydium sul Chrome Web Store. Pubblicato dall’utente sjclark76 il 7 maggio 2024, l’estensione ha 12 installazioni e rimane disponibile per il download. L’estensione si presenta come uno strumento per scambiare criptovaluta direttamente su X, fornendo approfondimenti in tempo reale ed esecuzione senza interruzioni. Dietro questa facciata, Crypto Copilot manipola le transazioni basate su Solana eseguite su Raydium, un exchange decentralizzato e un market maker automatizzato costruito sulla piattaforma Solana blockchain. Quando gli utenti avviano uno scambio tramite Raydium, l’estensione attiva un codice offuscato che aggiunge un’istruzione aggiuntiva alla transazione prima che raggiunga la fase di firma dell’utente. Questa istruzione iniettata consiste in a Metodo SystemProgram.transferche indirizza i fondi dal portafoglio dell’utente a un indirizzo codificato controllato dall’aggressore. L’importo del trasferimento costituisce un minimo di 0,0013 SOL o lo 0,05% del valore totale della transazione, a seconda di quale sia maggiore. Per gli swap superiori a 2,6 SOL, la commissione aumenta a 2,6 SOL più lo 0,05% dell’importo dello swap. Il ricercatore sulla sicurezza dei socket Kush Pandya ha dettagliato il meccanismo in un rapporto pubblicato martedì, affermando: “Dietro l’interfaccia, l’estensione inserisce un trasferimento aggiuntivo in ogni swap di Solana, travasando un minimo di 0,0013 SOL o lo 0,05% dell’importo della transazione in un portafoglio hardcoded controllato dall’aggressore.” Per eludere il rilevamento, il codice dannoso utilizza tecniche di minimizzazione e rinomina le variabili, rendendo difficile l’analisi dello script. Gli utenti non riscontrano alcuna indicazione visibile di questa alterazione durante il processo di transazione. L’interfaccia utente dell’estensione mostra solo i dettagli dello swap standard, omettendo qualsiasi riferimento alla tariffa nascosta. Di conseguenza, gli individui in genere approvano la transazione senza essere consapevoli della detrazione, a meno che non rivedano manualmente ciascuna istruzione prima di firmare. Crypto Copilot si integra con un server backend su crypto-coplilot-dashboard.vercel.app, dove registra i portafogli connessi, recupera punti e informazioni di riferimento e registra le attività degli utenti. Il dominio associato cryptocopilot.app non fornisce alcun prodotto reale e funziona esclusivamente come infrastruttura ingannevole. L’estensione rafforza ulteriormente la sua apparenza di legittimità incorporando i servizi di DexScreener per i dati di mercato e Helius RPC per le interazioni blockchain. La destinazione dei fondi sottratti è un portafoglio personale, distinto da qualsiasi tesoreria di protocollo, il che complica la verifica dell’utente. Pandya ha sottolineato questa sottigliezza, osservando: “Poiché questo trasferimento viene aggiunto silenziosamente e inviato a un portafoglio personale anziché a un protocollo di tesoreria, la maggior parte degli utenti non se ne accorgerà mai a meno che non controllino ogni istruzione prima di firmare.” Ha aggiunto che la configurazione complessiva dà la priorità all’elusione del controllo della piattaforma, osservando: “L’infrastruttura circostante sembra progettata solo per superare la revisione del Chrome Web Store e fornire una patina di legittimità mentre dirotta le commissioni in background.”
