Uma nova ameaça surgiu na comunidade comercial de Solana. Pesquisadores de segurança descobriram uma extensão maliciosa do Chrome chamada Crypto Copilot, que parece oferecer recursos de negociação convenientes, mas secretamente desvia criptomoedas dos usuários durante as transações.
Publicada na Chrome Web Store em 18 de junho de 2024, a extensão conseguiu permanecer disponível enquanto roubava silenciosamente fundos de centenas de comerciantes que acreditavam estar usando uma ferramenta legítima.
A extensão se posiciona como uma solução perfeita para traders Solana que buscam executar trocas rápidas diretamente da plataforma de mídia social X.
Ele se conecta a carteiras populares como Phantom e Solflare, exibe dados de tokens em tempo real do DexScreener e roteia transações através do Raydium, uma das maiores bolsas descentralizadas em Solana.
Os materiais de marketing prometem velocidade, conveniência e negociação com um clique, sem mencionar quaisquer custos ocultos ou transações extras.
Os analistas de segurança do Socket.dev identificaram o comportamento malicioso incorporado na estrutura do código da extensão. Por trás da interface atraente está um sofisticado mecanismo de roubo de taxas que opera sem o conhecimento do usuário.
Cada vez que um usuário realiza uma troca, a extensão injeta uma transferência não revelada que roteia um mínimo de 0,0013 SOL ou 0,05% do valor total da negociação para um endereço de carteira controlado pelo invasor: Bjeida13AjgPaUEU9xrh1iQMwxZC7QDdvSfg730xQff7.
Mecanismo de Ataque
O ataque funciona manipulando a construção de transações no nível do blockchain. Quando os usuários iniciam uma troca, a extensão primeiro cria a instrução de troca legítima do Raydium.
Em seguida, ele acrescenta silenciosamente uma segunda instrução contendo um comando SystemProgram.transfer que move o SOL da carteira do usuário diretamente para o endereço do invasor.
A interface do usuário exibe apenas os detalhes da troca, criando uma falsa sensação de legitimidade. A maioria das telas de confirmação de carteira mostram um resumo das transações sem destacar instruções individuais, de modo que os usuários assinam o que parece ser uma única transação enquanto ambas as instruções são executadas juntas na cadeia.
Copiloto criptográfico (fonte – Socket.dev)
Os pesquisadores do Socket também descobriram funcionalidades maliciosas adicionais além do roubo de taxas. A extensão exfiltra as chaves públicas da carteira conectada dos usuários para um servidor back-end em criptografia(.)copilot-dashboard(.)vercel(.)app/api/users, criando violações de privacidade.
Além disso, as credenciais incorporadas da API Helius RPC expõem informações confidenciais da infraestrutura, agravando os riscos de segurança.
O código malicioso reside no arquivo assets/popup.js, envolto em forte ofuscação para evitar a detecção.
A listagem da Chrome Web Store permaneceu inalterada apesar dessas descobertas, sem nenhum aviso aos usuários em potencial sobre cobranças ocultas ou coleta de dados que ocorrem em segundo plano.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
