Sikkerhetsadvarsel for Solana-handlere
En fersk sikkerhetsadvarsel har dukket opp for Solana-handlere etter at forskere har avdekket en Chrome-utvidelse som hemmelig legger til ekstra gebyrer på brukerbytter. Utvidelsen, kalt Crypto Copilot, promoterer rask handel direkte fra sosiale medier.
Skjulte gebyrer og risikoer
Imidlertid har etterforskere oppdaget at den stille setter inn en skjult SOL-overføring i hvert Raydium-bytte. Som et resultat mister uvitende brukere en del av sine eiendeler uten noen indikasjon på skjermen. Denne oppdagelsen reiser bredere bekymringer om nettleserbaserte handelsverktøy og varsler tradere om risikoene forbundet med utvidelser som krever omfattende signeringsrettigheter.
Socket’s Threat Research Team identifiserte denne atferden under en gjennomgang av mistenkelige utvidelser knyttet til Solana-aktivitet.
Utvidelsen så legitim ut ved første øyekast fordi den kobler til kjente lommebøker og viser token-data fra DexScreener. Imidlertid la forskerne merke til at hvert bytte genererte to instruksjoner i stedet for én. Utvidelsen utfører det riktige Raydium-bytte, men legger deretter til en annen instruksjon som overfører et lite beløp av SOL til en angriper-kontrollert lommebok. Gebyret varierer fra 0,0013 SOL til 0,05 % av handelsbeløpet.
Videre vises ikke overføringen i grensesnittet. Typiske lommebok-prompt oppsummerer hele transaksjonen som en enkelt handling, noe som gjør det vanskelig for brukerne å legge merke til den ekstra instruksjonen. Dermed samler angriperen gebyrer i bakgrunnen mens tradere tror de utfører et normalt bytte.
Utvidelsens popularitet og skjulte trusler
Crypto Copilot ble lansert i juni 2024 med et tilbud som appellerte til raske Solana-handlere. Utvidelsen oppdager tokens nevnt i innlegg på X og tilbyr en ett-klikk bytteknapp. Den ber om lommebok-adapterrettigheter som ser normale ut for alle som handler ofte. I tillegg presenterer grensesnittet hastighet og bekvemmelighet som de primære funksjonene. Imidlertid nevner ingen av markedsføringen tilleggsgebyrer eller uopplyste overføringer.
Den problematiske koden var skjult inne i sterkt obfuskerte filer. Dette hevet bekymringer blant analytikere som bemerket at utvidelser som tilbyr øyeblikkelig handel ofte oppfordrer brukere til å signere transaksjoner raskt, noe som gjør det lettere å gå glipp av stille ekstra instruksjoner.
Konklusjon og anbefalinger
Utvidelsen er fortsatt online, og forskere har bedt om at den fjernes. Betydelig nok fremhever hendelsen en bredere trend. Nettleserutvidelser som håndterer on-chain handlinger har blitt mer populære, men de øker også sikkerhetsrisikoen. Videre retter angripere seg nå oftere mot Solana-handlere på grunn av økende økosystemaktivitet.
Derfor anbefaler sikkerhetsteamet brukere å gjennomgå hver transaksjon nøye, unngå ukjente utvidelser og overvåke for uvanlige overføringsmønstre.
