Investigadores de ciberseguridad han descubierto una nueva extensión maliciosa en Chrome Web Store que es capaz de inyectar una transferencia sigilosa de Solana en una transacción de intercambio y transferir los fondos a una billetera de criptomonedas controlada por un atacante.
La extensión, citación Crypto Copilot, fue publicada por primera vez por un agraciado llamado “sjclark76” el 7 de mayo de 2024. El desarrollador describe el complemento del navegador como que ofrece la capacidad de “permutar criptomonedas directamente en X con información en tiempo verdadero y una ejecución perfecta”. La extensión tiene 12 instalaciones y permanece arreglado para descargar al momento de escribir este artículo.
“Detrás de la interfaz, la extensión inyecta una transferencia adicional en cada intercambio de Solana, desviando un imperceptible de 0,0013 SOL o 0,05% del monto de la transacción a una billetera codificada controlada por el atacante”, dijo el investigador de seguridad de Socket, Kush Pandya, en un crónica del martes.
Específicamente, la extensión incorpora un código ofuscado que cobra vida cuando un agraciado realiza un intercambio de Raydium, manipulándolo para inyectar una transferencia SOL no revelada en la misma transacción firmada. Raydium es un intercambio descentralizado (DEX) y un creador de mercado automatizado (AMM) construido sobre la esclavitud de bloques Solana.
Funciona agregando un método de utilidad oculto SystemProgram.transfer a cada intercambio antaño de que se solicite la firma del agraciado, y envía la tarifa a una billetera codificada incrustada en el código. La tarifa se calcula en función del monto división, cobrando un imperceptible de 0,0013 SOL para las operaciones y 2,6 SOL y 0,05% del monto del swap si es superior a 2,6 SOL. Para evitar la detección, el comportamiento receloso se oculta mediante técnicas como minificación y cambio de nombre de variables.
La extensión asimismo se comunica con un backend alojado en el dominio “crypto-coplilot-dashboard.vercel(.)app” para registrar billeteras conectadas, obtener puntos y datos de narración, e informar la actividad del agraciado. El dominio, yuxtapuesto con la “aplicación cryptocopilot(.)”, no alberga ningún producto verdadero.
Lo trascendente del ataque es que los usuarios no saben ausencia sobre la tarifa oculta de la plataforma, y la interfaz de agraciado solo muestra detalles del intercambio. Por otra parte, Crypto Copilot utiliza servicios legítimos como DexScreener y Helius RPC para darle una apariencia de confianza.
“Oportuno a que esta transferencia se agrega silenciosamente y se envía a una billetera personal en superficie de a una gerencia de protocolo, la mayoría de los usuarios nunca lo notarán a menos que inspeccionen cada instrucción antaño de firmar”, dijo Pandya. “La infraestructura circundante parece diseñada sólo para suceder la revisión de Chrome Web Store y proporcionar un barniz de legalidad mientras desvía tarifas en segundo plano”.
