Investigadores de ciberseguridad han descubierto una nueva extensión maliciosa en Chrome Web Store que puede insertar transferencias sigilosas de Solana en transacciones de intercambio y transferir fondos a una billetera criptográfica controlada por un atacante.
La extensión, denominada Crypto Copilot, fue publicada por primera vez el 7 de mayo de 2024 por un usuario llamado ‘sjclark76’. El desarrollador describe el complemento del navegador como que ofrece la capacidad de «negociar criptomonedas directamente en X con información en tiempo real y una ejecución perfecta». Esta extensión ha tenido 12 instalaciones y todavía está disponible para descargar al momento de escribir este artículo.
«Detrás de la interfaz, la extensión inyecta transferencias adicionales en cada intercambio de Solana, desviando un mínimo de 0,0013 SOL, o 0,05% del monto de la transacción, a una billetera codificada controlada por el atacante», dijo el investigador de seguridad de Sockets, Kush Pandya, en un informe el martes.
Específicamente, esta extensión contiene código ofuscado que se activa cuando un usuario realiza un intercambio de Raydium y se manipula para insertar una transferencia SOL privada en la misma transacción firmada. Raydium es un intercambio descentralizado (DEX) y un creador de mercado automatizado (AMM) construido sobre la cadena de bloques Solana.
Funciona agregando un método de utilidad oculto SystemProgram.transfer a cada intercambio antes de que se requiera la firma del usuario, enviando la tarifa a una billetera codificada incrustada en el código. Las tarifas se calculan en función del monto de la operación, con un mínimo de 0,0013 SOL, 2,6 SOL para operaciones y 0,05% del monto del swap para operaciones superiores a 2,6 SOL. Para evitar la detección, el comportamiento malicioso se oculta mediante técnicas como la minificación y el cambio de nombre de variables.
La extensión también se comunica con el backend alojado en el dominio “crypto-coplilot-dashboard.vercel(.)app” para registrar billeteras conectadas, recuperar puntos y datos de referencia, e informar la actividad del usuario. Este dominio, junto con la «aplicación cryptocopilot(.)», no aloja ningún producto real.
Lo notable de este ataque es que el usuario desconoce por completo las tarifas ocultas de la plataforma y solo los detalles del intercambio son visibles en la interfaz de usuario. Además, Crypto Copilot aprovecha servicios legítimos como DexScreener y Helius RPC para aumentar la confiabilidad de la superficie.
«Debido a que esta transferencia se agrega silenciosamente y se envía a una billetera personal en lugar de a la tesorería del protocolo, la mayoría de los usuarios no la notarán a menos que examinen cada instrucción antes de firmar», dijo Pandya. «La infraestructura circundante parece estar diseñada únicamente con el propósito de pasar la revisión de Chrome Web Store y fingir legitimidad mientras desvía tarifas entre bastidores».
Source link
